Buenas tardes a todos de nuevo. He vuelto a tener el mismo problema que hace unos meses en este post:
report.txt (1,4 KB) Como cada scrip de cada error lo generáis dependiendo del equipo y circunstancias, os reporto de nuevo los log de FRST64:
FRST.txt (26,2 KB) Addition.txt (69,1 KB)
Si preferís otro método de pegado del texto de los logs, me lo indicáis sin problema. Espero de nuevo vuestra ayuda. Un saludo
Hola @agusrr
Puedes detallarnos exactamente que problema te da actualmente?
Analizo los reportes y te dejo respuesta.
Salu2
Buenas compañer@. Pues que cuando copio/corto_pego cualquier documento o directorio no lo hace dando fallo de explorador de windows. He ido al visor de eventos y me da el reporte que he puesto en el post anterior. Por eso he querido referirlo a una acción que me ocurrió también hace unos meses. Saludos
Hola @agusrr
El problema que estas tenido te lo esta provocando el programa MyWinLocker, lo utilizas, lo has instalado tu??
Salu2
Hola, No, para nada, debe ser los programas que vienen instalados por Acer. Lo desinstalo desde el panel de control o con algún otro soft de limpieza? Desde el menú de programas que arrancan al inicio de Windows (msconfig) lo tengo desactivado, pero si que observo que si está ejecutándose la aplicación en el administrador de tareas. Saludos
Hola @agusrr
Descarga AdwCleaner lo ejecutas de acuerdo a su Manual, al finalizar listará todo tu software preinstalado, envía a cuarentena eliminando todo el que no uses.
Reinicias, al finalizar nos pegas el reporte y nos comentas si persiste el error.
Salu2
Buenos días, He pasado AdwCleaner según manual y os reporto los logs:
AdwCleaner[C00].txt (3,3 KB) AdwCleaner[S00].txt (8,6 KB)
Lo que pasa es que no aparece el soft de inicio MyWinLocker en el listado, por lo que he limpiado los archivos maliciosos pero no he borrado ningún software preinstalado. Según esto, he ido directamente al panel de control y desinstalado a mano el mencionado MyWinLocker. Parece que puedo copiar/pegar ya los elementos que antes no podía. Debo realizar alguna limpieza o scan más según los logs? Un saludo
Hola @agusrr
Han aparecido mas infecciones de las que esperaba, así que si te parece realicemos una limpieza mas profunda, sigue los pasos respetando el orden:
1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.
2.- Descarga, instala y/o actualiza a las siguientes herramientas:
3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores
CCleaner
Usando su opción Limpiador de acuerdo su Manual:
AdwCleaner
Lo ejecutas.
ZHPCleaner
Malwarebytes Versión 4
4.- Luego de finalizar todo lo anterior y reiniciar vuelve a desactiva temporalmente tu antivirus y cualquier programa de seguridad.
5.- Ejecuta nuevamente Farbar Recovery Scan Tool. en el escritorio.
Guía: Como Ejecutar FRST
6.- En tu próxima respuesta, pegas todos los reportes generados, si no entran en un Post, revisa el Método 4 de la Guía o utilizas mas mensajes.
Guía : ¿Como Pegar reportes en el Foro?
Esperamos esos reporte.
Salu2
Buenas tardes, Adjunto los logs creados. Espero vuestro análisis. Un saludoAdwCleaner[S02].txt (6,7 KB) Malwarebytes.txt (1,5 KB) ZHPCleaner ®.txt (3,0 KB) ZHPCleaner (S).txt (2,9 KB) FRST.txt (43,3 KB) Addition.txt (37,8 KB)
Hola @agusrr
En el reporte de AdwCleaner aparecen bastantes programas preinstalados, debes marcar las casillas y proceder a eliminarlos de acuerdo al manual que te deje, si es que no los utilizas.
En FRST se ven entradas extrañas producto de ciertos bloqueos con las herramientas antimalware y el programa que te dio problemas.
Paso 1:
Desinstala con sus herramientas especificas 
Ejecutas primero una herramienta de desinstalación reinicias y luego ejecutas la segunda, vuelves a reiniciar.
Estarás sin AV, por el momento NO los reinstales hasta que te lo diga.
Paso 2:
Ejecutaste FRST desde un lugar incorrecto:
Paso 3:
Con mucha atención sigue estos pasos:
1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.
Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…
Luego ve a::
2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:
Start::
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\84.0.4147.125\Installer\chrmstp.exe [2020-08-18] (Google LLC -> Google LLC)
Task: {0A786303-86FA-4D16-A3DB-9DB2E9861188} - System32\Tasks\AdwCleaner_onReboot => D:\DOCUMENTOS\Desktop\adwcleaner_8.0.7.exe [8414384 2020-08-29] (Malwarebytes Inc -> Malwarebytes)
Task: {8195CC23-9A59-4145-AFBB-22865A79419A} - no ruta de acceso de archivo
Task: {88CC2B49-5201-49F4-BF1F-B639AC149E05} - no ruta de acceso de archivo
Task: {B2E5DFA7-3AA8-4BD6-A2F7-180B5BA7C014} - no ruta de acceso de archivo
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ATENCIÓN (Restricción - ProxySettings)
AutoConfigURL: [HKLM] => hxxp://127.0.0.1:86/
AutoConfigURL: [HKLM-x32] => hxxp://127.0.0.1:86/
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restricción <==== ATENCIÓN
HKU\S-1-5-21-1140421877-3829564963-3683869324-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0c0a&m=aspire_5820tg&r=27360320t906l0443z195t4531k280
SearchScopes: HKLM-x32 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_esES893
SearchScopes: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
SearchScopes: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_esES893
Toolbar: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> Sin Nombre - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Ningún archivo
FF Plugin: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Ningún archivo]
"ESProtectionDriver" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\ESProtectionDriver => C:\Windows\system32\drivers\mbae64.sys [153312 2020-08-29] (Malwarebytes Corporation -> Malwarebytes) <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMChameleon" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMChameleon => \SystemRoot\System32\Drivers\MbamChameleon.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMFarflt" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMFarflt => system32\DRIVERS\farflt.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMProtection" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMProtection => \??\C:\Windows\system32\DRIVERS\mbam.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMWebProtection" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMWebProtection => system32\DRIVERS\mwac.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
2020-08-28 09:17 - 2020-08-28 09:17 - 000003096 _____ C:\Windows\system32\Tasks\AdwCleaner_onReboot
2020-08-28 09:26 - 2020-08-28 09:29 - 000009633 _____ () C:\Users\Laura Reyes Polo\AppData\Local\MyWinLockerInstaller.txt-20200828.log
MSCONFIG\startupreg: mwlDaemon => C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
C:\Program Files (x86)\EgisTec\MyWinLocker 3\x64\psdprotect.dll
MSCONFIG\startupreg: EgisTecLiveUpdate => "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe"
C:\Program Files (x86)\EgisTec
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
ENDNota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.
3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.
Nos comentas como sigue el equipo.
Salu2
Perdón, no tengo escritorio en C porque lo trasladé de ubicación. Puedo generarlo de nuevo solo con esta aplicación, o puede ser en el Raiz de C?