Error APPCRASH Explorer.EXE 2

Buenas tardes a todos de nuevo. He vuelto a tener el mismo problema que hace unos meses en este post:

report.txt (1,4 KB) Como cada scrip de cada error lo generáis dependiendo del equipo y circunstancias, os reporto de nuevo los log de FRST64:

FRST.txt (26,2 KB) Addition.txt (69,1 KB)

Si preferís otro método de pegado del texto de los logs, me lo indicáis sin problema. Espero de nuevo vuestra ayuda. Un saludo

Hola @agusrr

Puedes detallarnos exactamente que problema te da actualmente?

Analizo los reportes y te dejo respuesta.

Salu2

1 me gusta

Buenas compañ[email protected] Pues que cuando copio/corto_pego cualquier documento o directorio no lo hace dando fallo de explorador de windows. He ido al visor de eventos y me da el reporte que he puesto en el post anterior. Por eso he querido referirlo a una acción que me ocurrió también hace unos meses. Saludos

Hola @agusrr

El problema que estas tenido te lo esta provocando el programa MyWinLocker, lo utilizas, lo has instalado tu??

Salu2

1 me gusta

Hola, No, para nada, debe ser los programas que vienen instalados por Acer. Lo desinstalo desde el panel de control o con algún otro soft de limpieza? Desde el menú de programas que arrancan al inicio de Windows (msconfig) lo tengo desactivado, pero si que observo que si está ejecutándose la aplicación en el administrador de tareas. Saludos

Hola @agusrr

Descarga AdwCleaner lo ejecutas de acuerdo a su Manual, al finalizar listará todo tu software preinstalado, envía a cuarentena eliminando todo el que no uses.

Reinicias, al finalizar nos pegas el reporte y nos comentas si persiste el error.

Salu2

Buenos días, He pasado AdwCleaner según manual y os reporto los logs:

AdwCleaner[C00].txt (3,3 KB) AdwCleaner[S00].txt (8,6 KB)

Lo que pasa es que no aparece el soft de inicio MyWinLocker en el listado, por lo que he limpiado los archivos maliciosos pero no he borrado ningún software preinstalado. Según esto, he ido directamente al panel de control y desinstalado a mano el mencionado MyWinLocker. Parece que puedo copiar/pegar ya los elementos que antes no podía. Debo realizar alguna limpieza o scan más según los logs? Un saludo

Hola @agusrr

Han aparecido mas infecciones de las que esperaba, así que si te parece realicemos una limpieza mas profunda, sigue los pasos respetando el orden:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes Versión 4

  • Lo ejecutas siguiendo los pasos de su Manual.
  • Realizas un Análisis Personalizado
  • Revisa especialmente como salvar el reporte.

4.- Luego de finalizar todo lo anterior y reiniciar vuelve a desactiva temporalmente tu antivirus y cualquier programa de seguridad.

5.- Ejecuta nuevamente Farbar Recovery Scan Tool. en el escritorio.

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio, debes adjuntar ambos

Guía: Como Ejecutar FRST

6.- En tu próxima respuesta, pegas todos los reportes generados, si no entran en un Post, revisa el Método 4 de la Guía o utilizas mas mensajes.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

1 me gusta

Buenas tardes, Adjunto los logs creados. Espero vuestro análisis. Un saludoAdwCleaner[S02].txt (6,7 KB) Malwarebytes.txt (1,5 KB) ZHPCleaner ®.txt (3,0 KB) ZHPCleaner (S).txt (2,9 KB) FRST.txt (43,3 KB) Addition.txt (37,8 KB)

Hola @agusrr

En el reporte de AdwCleaner aparecen bastantes programas preinstalados, debes marcar las casillas y proceder a eliminarlos de acuerdo al manual que te deje, si es que no los utilizas.


En FRST se ven entradas extrañas producto de ciertos bloqueos con las herramientas antimalware y el programa que te dio problemas.

Paso 1:

Desinstala con sus herramientas especificas :slight_smile:

  • Malwarebytes.
  • Panda Dome. (Antivirus)

Ejecutas primero una herramienta de desinstalación reinicias y luego ejecutas la segunda, vuelves a reiniciar.

Estarás sin AV, por el momento NO los reinstales hasta que te lo diga.

Paso 2:

Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde D:\DOCUMENTOS\Desktop Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante. donde tienes el SO o sea el escritorio de C:

Paso 3:

Con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\84.0.4147.125\Installer\chrmstp.exe [2020-08-18] (Google LLC -> Google LLC)
Task: {0A786303-86FA-4D16-A3DB-9DB2E9861188} - System32\Tasks\AdwCleaner_onReboot => D:\DOCUMENTOS\Desktop\adwcleaner_8.0.7.exe [8414384 2020-08-29] (Malwarebytes Inc -> Malwarebytes)
Task: {8195CC23-9A59-4145-AFBB-22865A79419A} - no ruta de acceso de archivo
Task: {88CC2B49-5201-49F4-BF1F-B639AC149E05} - no ruta de acceso de archivo
Task: {B2E5DFA7-3AA8-4BD6-A2F7-180B5BA7C014} - no ruta de acceso de archivo
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ATENCIÓN (Restricción - ProxySettings)
AutoConfigURL: [HKLM] => hxxp://127.0.0.1:86/
AutoConfigURL: [HKLM-x32] => hxxp://127.0.0.1:86/
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restricción <==== ATENCIÓN
HKU\S-1-5-21-1140421877-3829564963-3683869324-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0c0a&m=aspire_5820tg&r=27360320t906l0443z195t4531k280
SearchScopes: HKLM-x32 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
SearchScopes: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_esES893
SearchScopes: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = 
SearchScopes: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_esES893
Toolbar: HKU\S-1-5-21-1140421877-3829564963-3683869324-1000 -> Sin Nombre - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Ningún archivo
FF Plugin: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Ningún archivo]
"ESProtectionDriver" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\ESProtectionDriver => C:\Windows\system32\drivers\mbae64.sys [153312 2020-08-29] (Malwarebytes Corporation -> Malwarebytes) <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMChameleon" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMChameleon => \SystemRoot\System32\Drivers\MbamChameleon.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMFarflt" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMFarflt => system32\DRIVERS\farflt.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMProtection" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMProtection => \??\C:\Windows\system32\DRIVERS\mbam.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
"MBAMWebProtection" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet001\Services\MBAMWebProtection => system32\DRIVERS\mwac.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
2020-08-28 09:17 - 2020-08-28 09:17 - 000003096 _____ C:\Windows\system32\Tasks\AdwCleaner_onReboot
2020-08-28 09:26 - 2020-08-28 09:29 - 000009633 _____ () C:\Users\Laura Reyes Polo\AppData\Local\MyWinLockerInstaller.txt-20200828.log
MSCONFIG\startupreg: mwlDaemon => C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
C:\Program Files (x86)\EgisTec\MyWinLocker 3\x64\psdprotect.dll
MSCONFIG\startupreg: EgisTecLiveUpdate => "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe"
C:\Program Files (x86)\EgisTec

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas como sigue el equipo.

Salu2

1 me gusta

Perdón, no tengo escritorio en C porque lo trasladé de ubicación. Puedo generarlo de nuevo solo con esta aplicación, o puede ser en el Raiz de C?

Hola @agusrr

Si perfecto.

Salu2