ELIMINAR EL FAMOSO Manuel.doc


#4

Hola @JuRuben y con permiso

En tus reportes, aparentemente estan todos mal realizados.

Malwarebytes ,el resultado pone " sin acciones por el usuario", aunque pone que están en cuarentena

Comprueba en Cuarentena si estan esos elementos

El UsbFix, primeramente según el log, lo hiciste sin conectar tus Usbs infectados y ademas no seleccionaste para eliminar nada de lo encontrado, por tanto ese análisis no sirve

------------ | Discos analizados |

No se detectan dispositivos para este tipo de escaneo.

------------ | Elemento(s) infectado(s) |

Not selected!

Mira el manual, realizas un Full Analisis , con todos tus Usbs conectados y le pegas el log al Compañero

Saludos


#5

Gracias @Miguelgrado por responder vuelvo a poner los reports, para que veais

Malwarebytes

-Detalles del registro- Fecha del análisis: 14/10/18 Hora del análisis: 4:37 Archivo de registro: 1e5a1a9a-cf5a-11e8-a120-10bf4806076c.json

-Información del software- Versión: 3.6.1.2711 Versión de los componentes: 1.0.463 Versión del paquete de actualización: 1.0.7337 Licencia: Prueba

-Información del sistema- SO: Windows 10 (Build 17134.345) CPU: x64 Sistema de archivos: NTFS Usuario: System

-Resumen del análisis- Tipo de análisis: Análisis de amenazas Análisis iniciado por:: Programador de tareas Resultado: Completado Objetos analizados: 327020 Amenazas detectadas: 2 Amenazas en cuarentena: 2 Tiempo transcurrido: 2 min, 30 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 0 (No hay elementos maliciosos detectados)

Valor del registro: 1 Worm.Forbix, HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|SysinfY2X, En cuarentena, [6204], [412187],1.0.7337

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 1 Worm.Forbix, C:\USERS\XXXX\APPDATA\LOCAL\TEMP\SysinfY2X.db, En cuarentena, [6204], [412187],1.0.7337

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Se supone que estan los dos archivos infectados y dos claves del registro en cuarentena

USBFix

UsbFix Antivirus Free
# Tipo de escaneo : Full
------------ | Discos analizados |

C:\	NTFS	(129GB/222GB)	[Fixed] 
E:\	FAT32	(1023GB/7GB)	[Removable] 
F:\	exFAT	(501GB/931GB)	[Fixed] 
G:\	FAT32	(7GB/7GB)	[Removable] 

------------ | Elemento(s) infectado(s) |

Restorado! E:\YO
Restorado! E:\XXXX
Restorado! G:\Manuel.doc
Restorado! E:\Manuel.doc
Borrado! HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\Software\Microsoft\Windows\CurrentVersion\Run|SysinfY2X
Borrado! C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db
Borrado! G:\System Volume Information.lnk
Borrado! E:\.Spotlight-V100.lnk
Borrado! E:\.Trashes.lnk
Borrado! E:\YO.lnk
Borrado! E:\System Volume Information.lnk
Borrado! E:\XXXX.lnk

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe
04 - HKCU\..\Run : [iCloudServices] "C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe"
04 - HKCU\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKCU\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKCU\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKCU\..\Run : [SysinfY2X] C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode %temp%\SysinfY2X.db
04 - HKLM\..\Run : [QHSafeTray] "C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe" /start
04 - HKLM\..\Run : [Dropbox] "C:\Program Files (x86)\Dropbox\Client\Dropbox.exe" /systemstartup
04 - HKLM\..\Run : [Autodesk Desktop App] "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe" -tray
04 - HKLM\..\Run : [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
04 - [x64] HKLM\..\Run : [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
04 - [x64] HKLM\..\Run : [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"
04 - [x64] HKLM\..\Run : [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [iCloudServices] "C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe"
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [SysinfY2X] C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode %temp%\SysinfY2X.db
04 - HKU\S-1-5-19\..\RunOnce : [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade
04 - HKU\S-1-5-20\..\RunOnce : [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[13/10/2018 - 22:32:52 | ASH | 2469848 Ko] - hiberfil.sys
[13/10/2018 - 22:32:54 | ASH | 1638400 Ko] - pagefile.sys
[13/10/2018 - 22:32:54 | ASH | 16384 Ko] - swapfile.sys
[12/10/2018 - 02:19:51 | SHD] - Config.Msi
[15/10/2016 - 18:41:09 | SHD] - $Recycle.Bin
[10/07/2015 - 13:00:31 | RASH | 386 Ko] - bootmgr
[10/07/2015 - 13:00:31 | ASH | 0 Ko] - BOOTNXT
[10/07/2015 - 14:21:38 | SHD] - Documents and Settings
[08/10/2016 - 12:38:09 | SHD] - Archivos de programa
[08/10/2016 - 14:29:38 | D] - Intel
[12/04/2018 - 01:38:20 | D] - PerfLogs
[27/04/2018 - 17:10:52 | D] - Autodesk
[04/06/2018 - 11:26:34 | SHD] - Recovery
[04/06/2018 - 11:27:46 | RD] - Users
[03/07/2018 - 21:19:18 | RSHD] - 360SANDBOX
[07/08/2018 - 17:45:03 | D] - output
[21/09/2018 - 13:01:56 | AH | 0 Ko] - 0F769134BADD
[21/09/2018 - 13:31:30 | SHD] - $360Section
[09/10/2018 - 17:23:02 | HD] - ProgramData
[09/10/2018 - 17:29:23 | RD] - Program Files
[09/10/2018 - 17:44:01 | RD] - Program Files (x86)
[10/10/2018 - 19:11:41 | D] - Windows

------------ | E:\ - Disco extraíble (FAT32) |

[06/10/2014 - 23:10:32 | SHD] - .Trashes
[06/10/2014 - 23:10:32 | SH | 4 Ko] - ._.Trashes
[06/10/2014 - 23:10:34 | SHD] - .Spotlight-V100
[14/10/2018 - 08:54:56 | R | 1 Ko] - .Spotlight-V100.lnk
[14/10/2018 - 08:54:56 | R | 1 Ko] - XXXX.lnk
[14/10/2018 - 08:54:56 | R | 1 Ko] - YO.lnk
[14/10/2018 - 08:54:56 | R | 1 Ko] - .Trashes.lnk
[13/10/2018 - 19:36:54 | RSH | 11 Ko] - Manuel.doc
[06/10/2014 - 23:11:30 | SHD] - XXXX
[06/10/2014 - 23:16:38 | SHD] - YO

------------ | F:\ - Disco fijo (exFAT) |

[01/01/2015 - 23:06:03 | AHD] - .Trashes
[01/01/2015 - 23:06:03 | AH | 4 Ko] - ._.Trashes
[01/01/2015 - 23:06:03 | AHD] - .Spotlight-V100
[14/07/2015 - 10:30:52 | A | 269 Ko] - duplicado (1).pdf
[17/01/2017 - 00:29:58 | A | 151 Ko] - poliza .pdf
[07/10/2016 - 11:17:12 | RA | 3195094 Ko] - Windows 10 Pro RTM x64 Esp.iso
[01/01/2015 - 23:08:41 | AH | 4 Ko] - ._.DS_Store
[01/01/2015 - 23:08:41 | AH | 6 Ko] - .DS_Store
[01/01/2015 - 23:06:04 | AH | 4 Ko] - ._.com.apple.timemachine.donotpresent
[01/01/2015 - 23:06:04 | AH | 0 Ko] - .com.apple.timemachine.donotpresent
[11/01/2016 - 18:55:56 | A | 2109 Ko] - memoria.docx
[02/12/2016 - 20:20:12 | ASH | 0 Ko] - .dropbox.device
[01/01/1980 - 00:00:00 | A | 0 Ko] - .cm0013
[01/01/2015 - 23:07:52 | SHD] - $RECYCLE.BIN
[03/01/2014 - 21:33:44 | AD] - construccion
[28/01/2014 - 14:54:32 | D] - Daemon tools 
[16/05/2014 - 01:28:40 | D] - PELICULAS
[30/12/2014 - 00:03:06 | AD] - XXXX
[10/01/2015 - 14:33:48 | D] - Detalles tipo
[10/02/2015 - 00:20:00 | D] -
[10/07/2015 - 00:08:02 | D] - 
[13/07/2015 - 19:31:26 | D] -
[26/07/2015 - 14:07:28 | D] - 
[28/07/2015 - 16:49:56 | D] - Camera
[05/08/2015 - 19:16:22 | D] - seguro
[03/09/2015 - 10:42:02 | D] -
[28/10/2015 - 19:52:54 | D] - 
[04/11/2015 - 10:20:12 | D] -
[04/11/2015 - 10:20:12 | D] - 
[14/11/2015 - 12:41:38 | RD] - Subidas desde cámara
[14/11/2015 - 13:00:56 | D] -
[01/12/2015 - 20:54:48 | D] - 
[02/12/2015 - 13:51:02 | D] - 
[15/12/2015 - 18:47:36 | D] - 
[21/12/2015 - 19:18:16 | D] - 
[01/01/2016 - 18:45:56 | D] - d
[02/01/2016 - 00:13:02 | D] - 
[07/01/2016 - 14:14:56 | D] - 2012
[10/01/2016 - 19:43:50 | D] - 
[23/02/2016 - 13:37:42 | D] - 
[23/02/2016 - 13:42:08 | D] -
[09/03/2016 - 11:31:32 | D] - 
[09/03/2016 - 15:48:08 | D] - 
[10/03/2016 - 14:19:34 | D] - 
[22/03/2016 - 20:48:12 | D] - 
[31/03/2016 - 10:18:58 | AD] - AutoCad_2012_x64_ES
[31/03/2016 - 10:54:32 | D] - autocad_2015
[31/03/2016 - 10:54:46 | D] - autocad_2016
[19/04/2016 - 10:42:04 | AD] - 
[21/08/2016 - 17:44:53 | D] - 
[16/12/2016 - 11:54:40 | D] -
[06/03/2017 - 18:57:06 | D] - 
[09/04/2017 - 17:33:34 | D] - 
[20/05/2017 - 12:45:08 | D] - 
[20/05/2017 - 12:49:16 | D] -
[20/05/2017 - 12:50:52 | D] - 
[20/05/2017 - 12:54:40 | D] - 
[20/05/2017 - 13:42:52 | D] -
[05/09/2017 - 16:41:28 | D] -
[20/10/2017 - 18:43:10 | D] - 
[17/11/2017 - 11:32:59 | D] - 2016 escritorio
[17/11/2017 - 12:19:14 | D] - 

------------ | G:\ - Disco extraíble (FAT32) |

[13/10/2018 - 19:38:02 | RSH | 11 Ko] - Manuel.doc

Elemento(s) infectado(s) : 14
Elementos analizados : 85019 en 00h 00m 07s

# UsbFix-Report-13.txt [9137B]

------------ | E.O.F  |

Eset Antivirus

C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db VBS/Agent.NJS gusano F:\d\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable F:\XXXX\AAAAA\d\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable F:\XXXX\AAAAA\documentos varios\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable Ubicaciones de inicio automático VBS/Agent.NJS gusano


#7

Ahora UsbFix si ha eliminado bien el problema.

El log de Eset hay que pegarlo entero, pues esto solo no indica si esta bien echo y si se elimino todo

Pegalo bien y comentas como va todo


#8

Buenas, ese es el txt que me creo Eset al final, puede ser que no lo haya creado yo correctamente, lo vuelvo a pasar.

Puedo comentar que he comprobado los pendrives infectados en una distro de Ubuntu-linux (que se arranca desde un pen) y he tenido que volver a eliminar el pesadilla “Manuel.doc” y todos los accesos directos que crea, pienso que USBFix no ha derrotado al enemigo.


#9

Espera que te indiquemos…

Conecta todos tus usbs y realiza el análisis como el manual:


#10

Muy buenas, varios análisis, para ir adelantando y el el disco duro del equipo sale esto

C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db VBS/Agent.NJS gusano Ubicaciones de inicio automático VBS/Agent.NJS gusano

En tres pens infectados por ejemplo:

E:\Manuel.doc VBS/Agent.NJS gusano E:\XXXX.lnk LNK/Agent.DO Troyano E:\System Volume Information.lnk LNK/Agent.DO Troyano E:\YO.lnk LNK/Agent.DO Troyano E:.Trashes.lnk LNK/Agent.DO Troyano E:.Spotlight-V100.lnk LNK/Agent.DO Troyano F:\Manuel.doc VBS/Agent.NJS gusano F:\System Volume Information.lnk LNK/Agent.DO Troyano G:\Manuel.doc VBS/Agent.NJS gusano G:\System Volume Information.lnk LNK/Agent.DO Troyano

Creo que os podeis hacer una idea no, cuando acabe de analizar las otras partes las incluyo, pero vamos, es el virus de los “accesos directos” pero no logro darle matarile.

He intentado copiar el log desde la carpeta oculta como indica el tutorial pero por algun motivo no me aparece el archivo siempre, pero si es necesario copio lo que tengo


#11

Hola de nuevo,

Termina el analisis y pega todo el reporte. Estas haciendo analisis con ESET?


#12

Estoy haciendo el analisis con ESET ONLINE, este es el log del disco duro externo, aunque me falta el del disco duro del PC

16:15:11 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# engine=39051
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-10-14 14:15:11
# local_time=2018-10-14 16:15:11 (+0100, Hora de verano romance)
# country="Spain"
# lang=3082
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 335079 98465391 0 0
# scanned=328290
# found=4
# cleaned=2
# scan_time=4807
sh=D838AAF8D656B7D8D0F48D13646E677EAAD35F20 ft=0 fh=0000000000002bbb vn="VBS/Agent.NJS gusano (no se ha podido desinfectar - archivo eliminado)" ac=C fn="C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="VBS/Agent.NJS gusano (contiene archivos infectados)" ac=C fn="${Startup}"
16:15:15 Call m_esets_charon_send
16:15:15 Call m_esets_charon_destroy
16:15:36 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# end=init
# utc_time=2018-10-14 14:15:35
# local_time=2018-10-14 16:15:35 (+0100, Hora de verano romance)
# country="Spain"
# osver=10.0.17134 NT 
16:15:40 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# end=init
# utc_time=2018-10-14 14:15:40
# local_time=2018-10-14 16:15:40 (+0100, Hora de verano romance)
# country="Spain"
# osver=10.0.17134 NT 
16:16:15 Call m_esets_charon_setup_create
16:16:15 Call m_esets_charon_create
16:16:15 m_esets_charon_create OK
16:16:15 Call m_esets_charon_start_send_thread
16:16:15 Call m_esets_charon_setup_set
16:16:15 m_esets_charon_setup_set OK
16:16:15 Updating
16:16:15 Update Init
16:16:25 Call m_esets_charon_setup_create
16:16:25 Call m_esets_charon_create
16:16:25 m_esets_charon_setup_set ERROR
16:16:25 Update Download
16:16:26 esets_scanner_update returned -1 esets_gle=53251
16:16:26 g_uiModuleBuild: 39051
16:16:26 Update Finalize
16:16:26 Call m_esets_charon_send
16:16:26 Call m_esets_charon_destroy
16:16:26 Updated modules version: 39051
16:16:36 Call m_esets_charon_setup_create
16:16:36 Call m_esets_charon_create
16:16:36 m_esets_charon_setup_set ERROR
16:16:36 Scanner engine: 39051
17:24:00 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# engine=39051
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-10-14 15:24:00
# local_time=2018-10-14 17:24:00 (+0100, Hora de verano romance)
# country="Spain"
# lang=3082
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 339208 98469520 0 0
# scanned=90433
# found=2
# cleaned=1
# scan_time=3909
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="VBS/Agent.NJS gusano (contiene archivos infectados)" ac=C fn="${Startup}"
17:24:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Quarantine\
17:24:04 Cleaning up
17:24:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Modules\
17:24:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\OldModules\
17:24:04 DeleteEstsApi: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
17:24:05 DeleteApiStgFile: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
17:24:05 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Char_Cache\
17:24:05 Call m_esets_charon_send
17:24:05 Call m_esets_charon_destroy

#13

El archivo VBS/Agent.NJS ya se elimino segun el reporte de ESET. Como comento @Miguelgrado tus memorias usb infectadas ya fueron eliminadas, estoy en lo correcto?

Realiza un escaneo con ESET a tu disco principal, y me pegas el reporte al final.


#14

Añado el ultimo reporte de la unidad C:

17:30:08 g_uiModuleBuild: 39051
17:30:08 Update Finalize
17:30:08 Call m_esets_charon_send
17:30:08 Call m_esets_charon_destroy
17:30:08 Updated modules version: 39051
17:30:18 Call m_esets_charon_setup_create
17:30:18 Call m_esets_charon_create
17:30:18 m_esets_charon_create OK
17:30:18 Call m_esets_charon_start_send_thread
17:30:18 Call m_esets_charon_setup_set
17:30:18 m_esets_charon_setup_set OK
17:30:18 Scanner engine: 39051
18:54:20 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# engine=39051
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-10-14 16:54:19
# local_time=2018-10-14 18:54:19 (+0100, Hora de verano romance)
# country="Spain"
# lang=3082
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 344627 98474939 0 0
# scanned=328328
# found=4
# cleaned=2
# scan_time=4837
sh=D838AAF8D656B7D8D0F48D13646E677EAAD35F20 ft=0 fh=0000000000002bbb vn="VBS/Agent.NJS gusano (no se ha podido desinfectar - archivo eliminado)" ac=C fn="C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="VBS/Agent.NJS gusano (contiene archivos infectados)" ac=C fn="${Startup}"
18:54:21 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Quarantine\
18:54:21 Cleaning up
18:54:21 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Modules\
18:54:21 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\OldModules\
18:54:21 DeleteEstsApi: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
18:54:22 DeleteApiStgFile: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
18:54:22 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Char_Cache\
18:54:22 Call m_esets_charon_send
18:54:22 Call m_esets_charon_destroy

Procedo a reiniciar el equipo y comprobar


#15

Este reporte tambien indica que estabas infectado con el mismo virus, reinicia la PC y me comentas.


#16

Acabo de reiniciar, pasar Malwarebytes, dar positivos otra vez, cuarentena, eliminarlos, reiniciar y parece ser que aún no se ha desinfectado, estamos apañados parece.


#17

Ejecuta la consola de comando (CMD) como administrador y sigue las siguientes instrucciones:

  • En la consola escribe la letra de la unidad que deseas limpiar, ejemplo C, escribe “C:” y tecleas Enter.
  • Escribe o pega el siguiente comando : Attrib /d /s -r -h -s . y tecleas Enter.
  • Realiza lo mismo con todas tus unidades, y reinicia el PC minimo tres(3) veces y me comentas si siguen.

Saludos.


#18

Me indica “No se encuentra el archivo:”


#19

Siguen apareciendo los archivos? Sube imagenes de donde se presentan, aun que tampoco me estas diciendo si aparecen en los discos, o en las memorias usb…


#20

Sigo viendo todos los archivos del pen como “accesos directos” y ya pongo el pen en un pc con linux veo el Manuel.doc, en windows no se ve.

Para la unidad C: pone esto:

C:\Users\Estefania> Attrib /d /s -r -h -s Acceso denegado: C:\Users\XXXX\AppData\Local\Microsoft\Windows\UPPS\UPPS.bin El destino del vínculo simbólico C:\Users\XXXX\AppData\Local\Microsoft\WindowsApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe no existe. El destino del vínculo simbólico C:\Users\XXXX\AppData\Local\Microsoft\WindowsApps\MicrosoftEdge.exe no existe.

No puedo subr imagenes a la publicacion, ¿subo los pantallazos a otro lado?

He ejecutado CMD como admin por supuesto.

No puedo escribir otro mensaje hasta dentro de 4 horas parece ser, y no me permiten subir imagenes al post (por novato supongo). Contesto en este mensaje a partir de ahora.


#21

Pero as ejecutado como administrador la consola CMD?

Guardalo en PAINT, teclea la tecla ImpPnt, ve a paint y teclea CTRL+V y lo guardas, venga al post y as click sobre el boton que tiene un flecha para arriba y lo subes.


#22

Hola compañeros y con permiso

Como el problema se está complicando, seguiré con el tema.

@JURuben, por favor, intenta activar la función de activar archivos ocultos y de sistema siguiendo los pasos indicados en éste enlace:

https://forospyware.com/t/publicado-ver-archivos-ocultos-en-todos-los-windows/148

Por experiencia propia, algunos virus de los accesos directos dejan sus rastros como dejar los archivos almacenados como ocultos incluso después de eliminar el problema.

Para ver si el virus persiste, por favor, realiza los siguientes análisis, con todos los dispositivos extraíbles que tengas conectados en el PC, con la opción de Mostrar archivos ocultos activada y en Modo Seguro con opciones de red:

  1. Ejecutar un Full Análisis con USBFix (sigue los pasos indicados en el manual de USBFix antes citado para ver cómo hacerlo, como el programa se actualiza cada cierto tiempo, descarga de nuevo su ejecutable desde el enlace de descarga que te dejamos en las primeras respuestas)
  2. Un análisis Personalizado con Malwarebytes Anti-Malware, para eso, realiza lo siguiente:
  • Abre el Malwarebytes y presiona en Análisis
  • Escoges el método de análisis Personalizado y luego haz clic en el botón de Configurar análisis )
  • Una vez dentro del apartado de configuración de análisis, marca todas las casillas correspondientes a las unidades que tengas conectadas y marca todas las casillas de opciones a analizar (Analizar objetos en memoria, analizar configuración de inicio y registro, analizar dentro de los archivos y análisis de rootkit)
  • Hecho lo anterior, haz clic en Analizar ahora para iniciar el análisis

Nota: Si unos de los programas pide reiniciar, por favor, hazlo. Luego, vuelve a iniciar el equipo en modo seguro para utilizar el siguiente programa

Para iniciar el PC en Modo seguro con opciones de red, favor de seguir los pasos indicados en éste enlace, según el sistema operativo que tengas instalado:

Nos comentas cómo va todo y qué pasa con los archivos ocultos que dicen que no ven después de realizar los análisis, junto con colocar los reportes de Malwarebytes y USBFix.

Saludos


#23

Amigos, al final lo que hice fue pasar de nuevo (en modo seguro y con los archivos ocultos visibles desde el principio);

USBFix, Malwarebytes, ESET. Luego he aplicado los comandos en la consola como me ha indicado @Facundo, he borrado los archivos y seguido sus instrucciones y puedo decir que los Pens y el disco duro externo están limpios. Como solución bestia pues al final he formateado (que ya tocaba) y he vuelto a instalar Windows 10 y a correr, necesitaba el equipo funcionando con seguridad.

Igualmente, han aparecido 2 pens más que puede que estén infectados o puede que no, este finde que tendré tiempo (por si se infecta de nuevo el equipo) comprobare si están infectados.

Agradecer tanto a @Facundo, @Miguelgrado y a los demás por sus consejos.

En cualquier caso, si tenéis algún consejo para evitar y proteger de infecciones los pendrives típicos que usamos para universidad, copisterias o centros de estudios, se agradecería.

Muchas gracias y un cordial saludo a todos.


#24

USBFix ya debio vacunar tu USB, para evitar que se infecte, si no lo hizo, @ArnaldoMuf o @Miguelgrado te lo diran como hacerlo, para que no se infecte, no lo conectes a tu computadora si ejecutaras o ejecutaste, un programa pirata como keygens,cracks y todo lo relacionado, ya que los troyanos que son lo que mas estan en este tipos de programas piratas son lo que intentan infectar todo lo que puedan.