Infección recurrente

Hola @PavoTo

Parte del problema Importante que tienes, es que tienes activado en tu antivirus Windows Defender El acceso controlado a Carpetas o lo que es lo mismo la protección contra Ransomware.

Y esta no te permite descargas ni ejecuciones ni ningun cambio, si no entiendes como funciona o no sabes darle los permisos correspondientes.

Por favor cuando respondas, especialmente cuando lo haces muy largo, separa en párrafos, o no se te entiende absolutamente nada.

Algo básico si no puedes descargar de la pagina oficial, o del enlace que te ponemos NO DESCARGUES NADA.

Reitero, si una descarga te falla NO Insistas.

Realmente no entiendo donde fuiste a parar o donde intentaste entrar.

Reitero por tercera vez, algo fundamental en la web si por alguna razón no puedes descargar algo de la pagina oficial y te vas a otro lado, es muy probable o casi seguro que te infectaras, o sea, si no puedes descargar, vienes y lo comentas, pero no sigas apretando todos los enlaces de la red, o jamas saldrás del problema.


Voy a dejarte unos pasos pero necesito que los leas varias veces si es necesario, no tienes que descargar nada, solo realizar lo indicado.

Si no lo entiendes vienes y lo comentas.

Pregunta: Utilizas Arduino? Lo has instalado tu??


Importante: Desactiva la Protección Controlada a Carpetas de tu Windows Defender, o jamas avanzaremos.

Ve el Punto (6) Administrar la protección contra rasomware. del siguiente Manual:

¿Cómo configurar Seguridad de Windows - Windows Defender?

Sigues los pasos y en tu caso lo Desactivas.

Luego:

Paso 1:

En la lupa de la Barra de Tareas escribes Panel de Control >>> Programas >>>** Desinstalar Programas.

Buscas en la lista Malwarebytes y lo desinstalas.

Paso 2:

Con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
GroupPolicy\User: Restricción ? <==== ATENCIÓN
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
Winsock: Catalog9 17 %windir%\system32\vsocklib.dll => Ningún archivo 
Winsock: Catalog9 18 %windir%\system32\vsocklib.dll => Ningún archivo 
Winsock: Catalog9-x64 17 %windir%\system32\vsocklib.dll => Ningún archivo 
Winsock: Catalog9-x64 18 %windir%\system32\vsocklib.dll => Ningún archivo 
Edge StartupUrls: Default -> "hxxp://www.duckduckgo.com/"
Edge DefaultSearchURL: Default -> hxxps://duckduckgo.com/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> duckduckgo.com
Edge DefaultSuggestURL: Default -> hxxps://duckduckgo.com/ac/?q={searchTerms}&type=list
Edge Extension: (DuckDuckGo) - C:\Users\Pablo B. Toscano\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\caoacbimdbbljakfhgikoodekdnlcgpk [2020-11-05]
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [7269976 2020-11-12] (Malwarebytes Inc -> Malwarebytes)
S3 Browser; %SystemRoot%\System32\browser.dll [X]
S4 uhssvc; "C:\Program Files\Microsoft Update Health Tools\uhssvc.exe" [X]
R1 ESProtectionDriver; C:\WINDOWS\system32\drivers\mbae64.sys [153312 2020-11-12] (Malwarebytes Corporation -> Malwarebytes)
R2 MBAMChameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [217600 2020-11-12] (Malwarebytes Inc -> Malwarebytes)
S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [19912 2020-11-12] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
R3 MBAMFarflt; C:\WINDOWS\System32\DRIVERS\farflt.sys [197792 2020-11-12] (Malwarebytes Inc -> Malwarebytes)
R3 MBAMProtection; C:\WINDOWS\system32\DRIVERS\mbam.sys [74936 2020-11-12] (Malwarebytes Inc -> Malwarebytes)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [248968 2020-11-12] (Malwarebytes Inc -> Malwarebytes)
R3 MBAMWebProtection; C:\WINDOWS\system32\DRIVERS\mwac.sys [134304 2020-11-12] (Malwarebytes Inc -> Malwarebytes)
2020-11-12 19:15 - 2020-11-12 19:15 - 000000000 ____D C:\Users\Pablo B. Toscano\AppData\Local\mbam
2020-11-12 19:14 - 2020-11-12 19:14 - 000074936 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbam.sys
2020-11-12 19:13 - 2020-11-12 19:13 - 000248968 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
2020-11-12 19:13 - 2020-11-12 19:13 - 000197792 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\farflt.sys
2020-11-12 19:13 - 2020-11-12 19:13 - 000134304 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mwac.sys
2020-11-12 19:13 - 2020-11-12 19:13 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
2020-11-12 19:13 - 2020-11-12 19:13 - 000002021 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2020-11-12 19:13 - 2020-11-12 19:13 - 000002021 _____ C:\ProgramData\Desktop\Malwarebytes.lnk
2020-11-12 19:13 - 2020-11-12 19:12 - 000153312 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
2020-11-12 19:13 - 2020-11-12 19:12 - 000019912 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamElam.sys
2020-11-12 19:11 - 2020-11-12 19:11 - 000000000 ____D C:\Program Files\Malwarebytes
2020-11-12 18:51 - 2020-11-12 18:53 - 002040904 _____ (Malwarebytes) C:\Users\Pablo B. Toscano\Downloads\MBSetup-0009996.0009996-consumer.exe
2020-11-12 16:57 - 2020-11-12 16:57 - 000255928 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\37367957.sys
2020-11-11 02:44 - 2020-11-11 02:44 - 000000207 _____ C:\WINDOWS\tweaking.com-regbackup-OFICINA-Windows-10-Pro-(64-bit).dat
2020-11-11 02:19 - 2020-11-11 02:56 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2020-11-11 02:16 - 2020-11-11 02:16 - 000000000 ____D C:\Users\Pablo B. Toscano\Downloads\tweaking.com_windows_repair_aio
2020-11-11 02:14 - 2020-11-11 02:14 - 040487038 _____ C:\Users\Pablo B. Toscano\Downloads\tweaking.com_windows_repair_aio.zip
2020-11-11 02:00 - 2020-11-11 02:01 - 000001868 _____ C:\Users\Pablo B. Toscano\Desktop\Rkill.txt
2020-11-11 01:59 - 2020-11-11 01:59 - 001802704 _____ (Bleeping Computer, LLC) C:\Users\Pablo B. Toscano\Downloads\iExplore.exe
2020-11-11 01:26 - 2020-11-11 01:26 - 000255928 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\E463E1A8.sys
2020-11-10 22:56 - 2020-11-12 19:12 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-11-10 22:56 - 2020-11-10 22:56 - 000255928 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\5342077A.sys
2020-11-10 22:53 - 2020-11-12 19:13 - 000217600 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamChameleon.sys
2020-11-10 22:53 - 2020-11-12 18:12 - 000000000 ____D C:\Users\Pablo B. Toscano\Desktop\mbar
2020-11-10 22:53 - 2020-11-12 17:53 - 000000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2020-11-10 22:52 - 2020-11-10 22:52 - 014178840 _____ (Malwarebytes Corp.) C:\Users\Pablo B. Toscano\Desktop\mbar-1.10.3.1001.exe
2020-11-10 22:51 - 2020-11-10 22:51 - 014178840 _____ (Malwarebytes Corp.) C:\Users\Pablo B. Toscano\Downloads\mbar-1.10.3.1001.exe
2020-11-06 20:29 - 2020-11-06 20:30 - 231249920 _____ C:\Users\Pablo B. Toscano\Downloads\Sin confirmar 697786.crdownload
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-11-12] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Ningún archivo
ContextMenuHandlers4: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> Ningún archivo
ContextMenuHandlers5: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Ningún archivo
ContextMenuHandlers5: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> Ningún archivo
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-11-12] (Malwarebytes Corporation -> Malwarebytes)
ShortcutWithArgument: C:\Users\Pablo B. Toscano\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\282b3c2b2ef3f4c1\Edge Feedback.lnk -> C:\Program Files (x86)\Microsoft\Edge\Application\msedge_proxy.exe (Microsoft Corporation) -> --profile-directory=Default --app-id=ihmafllikibpmigkcoadcmckbfhibefp --app-url
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppXSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BFE => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BITS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\camsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ClipSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dps => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lfsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MpsSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msiserver => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\semgrsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SharedAccess => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\shellhwdetection => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TokenBroker => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TweakingRemoveSafeBoot => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vss => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WSService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppXSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BITS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\camsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ClipSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dps => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\lfsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\msiserver => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SamSs => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\semgrsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\shellhwdetection => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\srv => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\srv2 => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\srvnet => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TokenBroker => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TweakingRemoveSafeBoot => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vss => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WSService => ""="Service"
FirewallRules: [{12BAE74B-047A-4DAA-92DB-7FC49044AF69}] => (Allow) C:\Users\Pablo B. Toscano\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
FirewallRules: [{FB56B6C0-2711-4A87-AF33-6F213408C517}] => (Allow) C:\Users\Pablo B. Toscano\AppData\Roaming\Zoom\bin\airhost.exe => Ningún archivo
C:\Program Files\Malwarebytes

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
End::
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2