Gandcrab ?

Estoy haciendo el escanéo desde modo seguro, ya que desde el encendido normal de mi PC, se mueve el ratón, clickeo sobre el icono de algún programa y no hace ninguna función, no se ejecuta nada. En modo seguro, que si puedo realizar el escanéo… al tiempo se me apaga la PC :(…lo sigo intentando … les informo…muchas gracias

Buenos días, pude realizar escanéo con el Dr.Web… detectó 27 amenazas… al finalizar, le dí a “neutralizar”… ahora os paso el informe. Trato de enviarlo, pero dice que es muy grande el archivo …:thinking:… Son 21,7 megas…

Fijate en las indicaciones del manual para ver que parte hay que pegar

Total 45117516504 bytes in 70754 files scanned (103574 objects) Total 70731 files (102980 objects) are clean Total 27 files are infected Total 19 files (567 objects) are raised error condition Scan time is 01:13:46.562

Una vez que le dí a neutralizar, luego de terminar el escanéo dijo que tenía 0 amenazas.

Ahora me enfrento a que sólo mi PC funciona en MODO SEGURO, en un encendido normal, NO puedo trabajar…cualquier icono de mi escritorio que quiera entrar, la máquina no hace nada, si apunto el ratón a la barra de herramientas, está el relojito, como funcionando y así se queda :frowning:- En modo Seguro, al tiempo, se apaga mi PC…ésto no lo hacia…que puede ser? Muchas Gracias

En revisando los logs de Fabar te comento

Hice un análisis con el spybot y detecto ésto.–


Corregí los errores…y aún sigo sin poder operar en modo normal, y sólo puedo trabajar en Modo Seguro…

Por favor, no hagas ningún paso adicional hasta que revisemos todo

Los Code etiquetas no se pone a archivos que subas, sol oa logs que pegues directamente en las respuestas

Aunque tengo que revisar mas a fondo, realizas:

Bien… y ahora sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

  • Para hacerlo descarga Delfix en tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


En el equipo con los demas programas cerrados:

Inicio >>> Ejecutar >>>Escribes notepad.exe.

Ahora copia y pega estos archivos dentro del Notepad:


Start
CreateRestorePoint:
CloseProcesses:

Winlogon\Notify\cscdll: cscdll.dll [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{c46a5d3b-091f-434a-81a4-35e8d6d1edad} <==== ATTENTION (Restriction - IP)
URLSearchHook: HKLM -> Default = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S3 catchme; \??\C:\WINDOWS\TEMP\catchme.sys [X]
NETSVC: mshdp -> no filepath.
2018-10-09 08:45 - 2015-11-05 08:25 - 000000000 ____D C:\Archivos de programa\7k7kWeb
ContextMenuHandlers1: [AGpShellExt] -> {5CD76C57-6893-478A-B776-47E7C82504BE} =>  -> No File
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> No File
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> No File
ContextMenuHandlers6: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> No File
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> No File

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
END

Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.

  • Y ahora usa esta Faq de Windows ¿Cómo iniciar Windows en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecutas Frst.exe.

  • Presionas el botón Fix y aguardas a que termine.

  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).

Lo pegas en tu próxima respuesta, comentado como va el problema

Fantástico… realice al pie de la letra tus instrucciones, ya puedo operar en MODO NORMAL. Gracias. Adjunto archivo fixlog.txt

Fixlog.txt (6,1 KB)

También ejecuté el Delfix, y guardé el archivo de informe.

Bien, ahora como indico @Marcelo, vas a realizar un análisis en modo seguro.

Realiza el análisis Personalizado y marcas todas las casillas y me subes el log y comentas como sigue el pc

DelFix.txt (5,5 KB)

Nadie indico Delfix marcando opcion de remover herramientas

No entiendo evidentemente éste punto… de ahí mi confusión con el Delfix… podrías indicarme mejor ésto? Gracias.

No entiendo bien…solo debes hacer, en Modo Seguro, según el manual que te puse de Malwarebytes, el denominado análisis personalizado y subir el log

En ese manual no pone nada de Delfix ni nada…solo debes hacer lo indicado

A ver Miguel… arranco mi PC en modo SEGURO con función de RED, vale? Luego, al final del post vosotros me indicáis que tengo que ejecutar el SAFE MODE REPAIR, vale? elijo mi versión de Windows (XP en mi caso) y lo ejecuto…hasta ahí todo perfecto… vale? Me puedes decir donde están todas las casillas que debo marcar??? no veo nada de lo que tu cuentas o estoy en otra película.

Veamos …

El usar safe mode repair…es Solo si tienes problemas para entrar en ese modo…se indica claramente…por lo que si no…eso nada…

Luego en analisis personalizado…al seleccionar esa opcion de Malwarebytes veras una pantalla dónde debes marcar todo antes de iniciar el análisis

Tienes el manual donde se ve…analisis personalizado

Ahora sí Miguel, gracias, pero cuando quiero ejecutar el Malwarebytes me tira el siguiente error… "Runtime Error (at 414:120) Could not call proc. "

El equipo me está funcionando perfectamente ahora…

Malwarebytes ya no soporta Xp.

Quita esa versión y usa esta:

Malwarebytes para Xp

Malwarebyte.txt (1,3 KB)

Éste es el informe que arrojo el análisis del Malwarebytes, en Modo Seguro. Encontré la nota de rescate del virus, es una archivo .txt… no sé sí necesitas que la suba o simplemente la quito de mis archivos. Muchas gracias Miguel y Marcelo. Como siempre un buen trabajo. Sólo me queda reparar el ransonware que me atacó hace dos años, hice un ID Ransonware, y por fin lo identificó como “Crytowire”. No es urgente, pero sí tenéis tiempo y herramientas para desencriptar, con gusto me gustaría saber. Un Abrazo

Bueno, creía que todo estaba funcionando perfectamente, y por dos veces, haciendo un análisis con el Avast y otro con el ESET online, me saca del programa y se reinicia como si fuera modo seguro, pero no lo es y aparece un usuario que no reconozco ASP y otra opción con mi nombre. En modo seguro si aparece la opción, en la lista de usuario como ADMINISTRADOR y otra opción con mi nombre. Se pone toda la pantalla azul, y se reinicia… (no me deja subir la imagen) pero viene diciendo… "Si no se detecta ningun controlador dañado, intentelo habilitando un conjunto especial. Ambas caracteristicas estan pensadas para detectar el daño en una etapa anterior. Cuando se puede identifical el controlador conflictivo. Si necesita usar el modo a prueba de errores para quitar o deshabiltar componentes reinicie su equipo, presiona f8 para seleccionar opciones de inicio avanzadasy entonces selecione el modo a prueba de errores. Si esta es la primera vez que le ocurre le sale esta pantalla de error de detencion.reinicies su equipo pero si la aparece esta pantalla otra vez siga los siguientes pasos. Compruebe que cualquier hadware o software esta correctamente instalado. Si es una nueva instalacion, contacte con su proveedor de hardware o software para obtener actualizaciones de windows que puedan necesitar Si continuan los problemas, deshabilite o elimine cualquier nevo hardware o software instalado.deshabilite las opciones de memoria de la bios como cache o vigilancia.si necesitar utilizar el modo aprueba de errores para quitar o deshabilitar componentes, reinicie su equipo, presione f8 para seleccionar opciones de inicio avanzadas y , a continuación , seleccione modo a prueba de errores.

Información tecnica:

Los dos últimos programas que incorporé fue el AVAST free que descargué de ésta página y el malwarebytes para xp…

Desde ya gracias por su ayuda… !!

Eliminé el Avast, y sigue el problema…mañana eliminaré el Malwarebytes, ahora es tarde… seguiré informando.

Reviso todo y te digo, pero a las infecciones sufridas, hay que sumarle que tienes un sistema operativo que ya no es soportado por la mayoria de programas, Drivers, etc, y que ya no recibe mejoras ni actualizaciones hace mucho tiempo.

Lo recomendable es cambiar el sistema, pues Xp ya no se sostiene, o en determinados casos, por daños, Formatear y reinstalar.

Comenta como sigue el pc

Buenos días Miguel…totalmente de acuerdo contigo, pero lamentablemente me sigue abriendo como si fuera en MODO SEGURO, y en la lista de usuarios sale ASP (que no tengo ni idea que es) y mi nombre… Digamos que abre como si hubiese iniciado en F8, y no es así. Eliminé ayer noche el AVAST y el malwarebytes. Cambia el mensaje de la pantalla azul. no me da tiempo a leerlo, pero creo que dice El [código de error] IRQL NOT LESS OR EQUAL Como puedo volver a dejarlo como antes, es decir, que en MODO normal? Gracias espero instrucciones.

Si enciendes el pc, entra en modo normal o no??

Una vez que enciende, dices que sale una pantalla azul , no? y Se reinicia el pc

Te recomiendo bajar http://www.nirsoft.net/utils/blue_screen_view.html para que nos diga que decia esa pantalla azul ya que es una herramienta que se dedica a eso.

Descargar BlueScreenView

Descargar BlueScreenView Parche idioma español

Descarga ambos archivos, luego en la carpeta bluescreenview, ejecuta BlueScreenView.exe , Donde dice Dump file veras el error mas reciente y abajo te mostrara la pantalla la cual le tomaras foto y me la pegaras aqui.

Como publicar Fotos en el Foro.