Letrero de McAfee

Eliminar Malwares
1

Buenas. Me acaba de aparecer mensajes abajo a la derecha y cada vez que pulsa se abre Edge y me aparece una pestaña de McAfee Total Security, con el siguiente mensaje: Alerta de seguriad. Ha visitado un sitio web ilegal infectado… Como puedo eliminar estos mensajes donde cada vez dicen una cosa diferente, pero que siempre sale el mensaje mencionado anteriormente? Gracias.

1 me gusta
2

Hola buenas @Beduino, bienvenida al foro. Al ser nueva te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

Ok.

Me traes una captura de pantalla de esto que comentas (del aviso que comentas):

¿Como subir imágenes al Foro?

Y dame el máximo de información posible sobre tu caso.

Salu2.

3

Estas son las seis popup que aparecen cada ± 23" abajo a la derecha, repidiéndose constantemente:

Espero que sirva. Gracias

4

Hola buenas @Beduino

No me deja verlas, pues me dice que: Necesitas acceso

Aparte de eso, yo no te dije ese método para poner las imágenes. Ponlas de esta forma:

Aunque sean muchas fotos o pocas, ponlas de esta forma.

Salu2.

5

Perdona. Una vez arrastradas las imágenes (.jpg) dentro del editor, al pulsar “Responder”, me dice: “Ha orrido un error: Lo sentimos, no puedes insertar elementos multimedia en una publicación”. Gracias y un saludo.

1 me gusta
6

Hola buenas @Beduino

De nada. OK. “Digamos que he hecho magia” :magic_wand: con tu usuario y ahora tu usuario puede hacer algunas pequeñas cosas que antes no podía. Una de ellas… creo que ahora podrás poner las imágenes sin problema.

Me comentas si realmente es así.

Seguimos.

Salu2.

7

Popup1 Popup2 Popup3 Popup4 Popup5 Popup6 Al pulsar sobre cualquier de las imágenes anteriores, se abre Edge y aparece la siguiente pantalla:

Pestania
Pestania1920×1052 74.9 KB

Gracias.

1 me gusta
8

Hola buenas @Beduino

OK :+1: entendido. Buenas capturas e información la que has puesto.

Quiero ver :eyes: algunas cosas de forma diferente en tu máquina.

[color=#2271b3] EN BUSCA / ELIMINACIÓN DE MALWARE [/color]

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

[color=#ff00]LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE[/color] (y no en otro sitio).

Descargas Farbar Recovery Scan Tool [color=#ff00]MUY IMPORTANTE[/color] >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe[size=2] (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).[/size]

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: [color=#ff00]Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.[/color] [color=#ff00]También conectas nuevamente tu equipo a Internet.[/color]

[color=#2271b3]:four: PRÓXIMA RESPUESTA[/color]

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

[color=#ff0000]Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:[/color]

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

9

FRST.txt (35,0 KB) Addition.txt (11,2 KB)

10

Hola, buenas @Beduino

:zero:[color=#2271b3] PREGUNTAS [/color]

¿Reconoces la siguiente dirección IP: 172.21.224.1? Y esto:

Tcpip\Parameters: [DhcpNameServer] 172.21.224.1
Tcpip\..\Interfaces\{3265811a-2533-49f6-9ce9-cdb5c47b371a}: [DhcpNameServer] 172.21.224.1

¿Que servidores DCHP tienes instalados/configurados en tu máquina?

¿Qué antivirus utilizas actualmente en tu equipo como protección residente? ¿Y qué Firewall?

:one: Ahora debes de hacer una [color=#ff00]COPIA DE SEGURIDAD DEL REGISTRO[/color], para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. [size=2](Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)[/size]

  • Marcas solamente la casilla de [color=#ff00]Create registry backup[/color], el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:

SetDefaultFilePermissions: C:\Windows\SysWOW64\NlsData0009.dll
SetDefaultFilePermissions: C:\Windows\SysWOW64\IsolatedWindowsEnvironmentUtils.dll
SetDefaultFilePermissions: C:\Windows\SysWOW64\hvsiproxyapp.exe
SetDefaultFilePermissions: C:\Windows\system32\UtilityVmSysprep.dll
SetDefaultFilePermissions: C:\Windows\system32\prm0009.dll
SetDefaultFilePermissions: C:\Windows\system32\NlsLexicons0009.dll
SetDefaultFilePermissions: C:\Windows\system32\NlsData0009.dll
SetDefaultFilePermissions: C:\Windows\system32\IsolatedWindowsEnvironmentUtils.dll
SetDefaultFilePermissions: C:\Windows\system32\HvsiSettingsWorker.exe
SetDefaultFilePermissions: C:\Windows\system32\HvsiSettingsProvider.dll
SetDefaultFilePermissions: C:\Windows\system32\hvsiproxyapp.exe
SetDefaultFilePermissions: C:\Windows\system32\HvsiMachinePolicies.dll
SetDefaultFilePermissions: C:\Windows\system32\AuditSettingsProvider.dll
Unlock: C:\WcSandboxState

File: C:\Windows\system32\poqexec.exe;C:\Windows\SysWOW64\poqexec.exe
Folder: C:\WcSandboxState
Folder: C:\OfficePackagesForWDAG
Folder: C:\Windows\CSC
VirusTotal: C:\Windows\system32\poqexec.exe;C:\Windows\SysWOW64\poqexec.exe

HKLM\...\RunOnce: [Unattend0000000001{EBC0558B-C6F1-46D2-994B-41050105C042}] => cmd /C wmic useraccount where "name='WDAGUtilityAccount'" set PasswordExpires=FALSE (Ningún archivo)
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restricción <==== ATENCIÓN
HKLM\Software\Policies\...\system: [DisableLockScreenAppNotifications] 1
HKLM\Software\Policies\...\system: [DontDisplayNetworkSelectionUI] 1
HKLM\Software\Policies\...\system: [EnumerateLocalUsers] 0
HKLM\Software\Microsoft\Active Setup\Installed Components: [{9459C573-B17A-45AE-9F64-1857B5D58CEE}] -> "C:\Program Files (x86)\Microsoft\Edge\Application\92.0.902.67\Installer\setup.exe" --configure-user-settings --verbose-logging --system-level --msedge
BootExecute: 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restricción <==== ATENCIÓN
Task: {4F41B4A1-8822-4B02-90CD-202A0099FFAE} - \Microsoft\Windows\Device Information\Device -> Ningún archivo <==== ATENCIÓN
Task: {7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Ningún archivo <==== ATENCIÓN
Task: {F278A444-BDB4-4CD1-A2F0-7A2284C32800} - \Microsoft\Windows\Device Information\Device User -> Ningún archivo <==== ATENCIÓN
Task: {559B0F92-63C4-4001-AE5E-A650091C71B8} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => %ProgramFiles%\Windows Defender\MpCmdRun.exe  -IdleTask -TaskName WdCacheMaintenance (Ningún archivo)
Task: {DB1218E6-F693-4F20-BC36-E62D6CB63AB4} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => %ProgramFiles%\Windows Defender\MpCmdRun.exe  -IdleTask -TaskName WdCleanup (Ningún archivo)
Task: {4680A8DF-7B63-403E-ABB1-3FA7B77DE631} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => %ProgramFiles%\Windows Defender\MpCmdRun.exe  Scan -ScheduleJob (Ningún archivo)
Task: {E559FBB0-7370-4985-90DD-5D6B10DFC5F1} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => %ProgramFiles%\Windows Defender\MpCmdRun.exe  -IdleTask -TaskName WdVerification (Ningún archivo)
Task: {C248695F-72B2-4F45-866F-D166731A917A} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /c (Ningún archivo)
Task: {64A85EF4-86EF-4B03-901A-6A663D9E38FD} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /ua /installsource scheduler (Ningún archivo)
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\92.0.902.67\elevation_service.exe" [X]
S3 WdNisSvc; "%ProgramFiles%\Windows Defender\NisSrv.exe" [X]
S3 WinDefend; "%ProgramFiles%\Windows Defender\MsMpEng.exe" [X]
U4 iaStorAV; no ImagePath
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => C:\Program Files\Windows Defender\shellext.dll -> Ningún archivo
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => C:\Program Files\Windows Defender\shellext.dll -> Ningún archivo
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => C:\Program Files\Windows Defender\shellext.dll -> Ningún archivo
BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\92.0.902.67\BHO\ie_to_edge_bho_64.dll => Ningún archivo
BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\92.0.902.67\BHO\ie_to_edge_bho.dll => Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio [color=#ff00](MUY IMPORTANTE).[/color] Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: [color=#ff00]El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.[/color]

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe [size=2](Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)[/size].

  2. Presionas sobre [color=#ff00]Fix/Corregir[/color] y esperas a que finalice el proceso. [color=#ff00]No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.[/color]

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

11

Una vez hayas realizado todo lo descrito en mi anterior mensaje.

Haces esto:

[color=#2271b3]:one: EN BUSCA / ELIMINACIÓN DE MALWARE [/color]

[color=#ff00](Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).[/color]

[color=#ff00]Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.[/color]

[color=#ff0000]Ahora ejecutarás una serie de herramientas respetando el orden, los pasos con todos los programas cerrados, incluidos los navegadores.[/color]

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes).

Inicia de nuevo el equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando [color=#ff00]Red[/color] en lugar de Mínimo) y si no el 2 (también [color=#ff00]Red[/color]).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es [color=#ff00]muy importante no reiniciar el sistema[/color] hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

[color=#ff00]¿Me entiendes?[/color]

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. [color=#ff00]¿OK? ¿Se entiende?[/color]

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente, haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente, clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, [color=#ff0000]actualiza[/color] y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

[center]1. Analizar objetos en memoria[/center] [center]2. Analizar configuración de inicio y registro[/center] [center]3. Analizar dentro de los archivos[/center]

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe [size=2][color=#0000FF](Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)[/color][/size]
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente, pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

[color=#ff0000]Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:[/color]

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.