Solamente dejo chuleada esa casilla?, al abrir el programa viene con la casilla “remove desinfection tools” marcada.
Hola:
Si solo la indicada.
Destilda la que no necesitamos por ahora.
Salu2
Ok, y pego el reporte?
Hola:
De Delfix no es necesario. El Fixlog si.
Salu2
Fix result of Farbar Recovery Scan Tool (x86) Version: 19-06-2019
Ran by Gabmer (22-06-2019 02:05:56) Run:1
Running from C:\Users\Gabmer\Desktop
Loaded Profiles: Gabmer (Available Profiles: Gabmer)
Boot Mode: Normal
==============================================
fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== ATTENTION
HKU\S-1-5-21-988120049-823985332-2827762242-1000\...\MountPoints2: {c98c15da-1545-11e8-8a3d-d050996057c9} - L:\setup.exe
HKU\S-1-5-21-988120049-823985332-2827762242-1000\...\MountPoints2: {e1da1e80-4e8f-11e9-84ec-d050996057c9} - F:\HiSuiteDownLoader.exe
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-988120049-823985332-2827762242-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 HuaweiHiSuiteService.exe; "C:\Program Files\HiSuite\HandSetService\HuaweiHiSuiteService.exe" -/service [X]
S2 rcdll; C:\Users\Gabmer\AppData\Local\Temp\rcdll.exe [X] <==== ATTENTION
U0 Partizan; system32\drivers\Partizan.sys [X]
2019-06-20 00:03 - 2019-02-09 23:22 - 000000000 __SHD C:\found.005
2019-06-20 00:03 - 2019-02-09 19:46 - 000000000 __SHD C:\found.006
2019-06-20 00:03 - 2019-02-08 21:24 - 000000000 __SHD C:\found.004
2019-06-20 00:03 - 2019-01-26 00:06 - 000000000 __SHD C:\found.003
2019-06-20 00:03 - 2018-12-10 00:47 - 000000000 ____D C:\Temp
2019-06-20 00:03 - 2018-11-26 00:18 - 000000000 __SHD C:\found.002
2019-06-20 00:03 - 2018-11-25 23:46 - 000000000 __SHD C:\found.001
2019-06-20 00:03 - 2018-07-08 18:03 - 000000000 __SHD C:\found.000
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************
Processes closed successfully.
Restore point was successfully created.
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore => removed successfully.
HKU\S-1-5-21-988120049-823985332-2827762242-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c98c15da-1545-11e8-8a3d-d050996057c9} => removed successfully.
HKLM\Software\Classes\CLSID\{c98c15da-1545-11e8-8a3d-d050996057c9} => not found
HKU\S-1-5-21-988120049-823985332-2827762242-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e1da1e80-4e8f-11e9-84ec-d050996057c9} => removed successfully.
HKLM\Software\Classes\CLSID\{e1da1e80-4e8f-11e9-84ec-d050996057c9} => not found
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
HKLM\SOFTWARE\Policies\Mozilla => removed successfully.
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKU\S-1-5-21-988120049-823985332-2827762242-1000\Software\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => removed successfully.
HKLM\Software\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => not found
HKLM\System\CurrentControlSet\Services\HuaweiHiSuiteService.exe => removed successfully.
HuaweiHiSuiteService.exe => service removed successfully.
HKLM\System\CurrentControlSet\Services\rcdll => removed successfully.
rcdll => service removed successfully.
HKLM\System\CurrentControlSet\Services\Partizan => removed successfully.
Partizan => service removed successfully.
C:\found.005 => moved successfully
C:\found.006 => moved successfully
C:\found.004 => moved successfully
C:\found.003 => moved successfully
C:\Temp => moved successfully
C:\found.002 => moved successfully
C:\found.001 => moved successfully
C:\found.000 => moved successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ MEGA (Pending) => invalid subkey removed.
HKLM\Software\Classes\CLSID\{056D528D-CE28-4194-9BA3-BA2E9197FF8C} => not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ MEGA (Synced) => invalid subkey removed.
HKLM\Software\Classes\CLSID\{05B38830-F4E9-4329-978B-1DD28605D202} => not found
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ MEGA (Syncing) => invalid subkey removed.
HKLM\Software\Classes\CLSID\{0596C850-7BDD-4C9D-AFDF-873BE6890637} => not found
========= ipconfig /flushdns =========
Configuraci¢n IP de Windows
Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.
========= End of CMD: =========
========= ipconfig /renew =========
Configuraci¢n IP de Windows
Adaptador de Ethernet Conexi¢n de rea local:
Sufijo DNS espec¡fico para la conexi¢n. . :
V¡nculo: direcci¢n IPv6 local. . . : fe80::58b6:eb47:aa3c:dc7e%12
Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.0.15
M scara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.0.1
Adaptador de t£nel isatap.{0649FCB1-CFEE-4A41-8A62-4034D5607543}:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
Adaptador de t£nel isatap.{47803BD5-405F-4097-81B5-A7211CBCFDE6}:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS espec¡fico para la conexi¢n. . :
========= End of CMD: =========
========= bitsadmin /reset /allusers =========
BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.
BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.
Unable to cancel {E0AAA0A5-0180-4C74-AC9D-EFB76855DC15}.
Unable to cancel {AFC421CE-D462-49A9-AB7A-A43EA8FA0E62}.
{76FB0F41-419E-4F2E-88A6-6727B4810689} canceled.
1 out of 3 jobs canceled.
========= End of CMD: =========
========= netsh winsock reset =========
El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.
========= End of CMD: =========
========= netsh advfirewall reset =========
Aceptar
========= End of CMD: =========
========= netsh advfirewall set allprofiles state ON =========
Aceptar
========= End of CMD: =========
========= netsh int ipv4 reset =========
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.
========= End of CMD: =========
========= netsh int ipv6 reset =========
No hay valores configurados por el usuario para restablecer.
========= End of CMD: =========
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully.
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully.
"HKU\S-1-5-21-988120049-823985332-2827762242-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully.
"HKU\S-1-5-21-988120049-823985332-2827762242-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully.
========= End of RemoveProxy: =========
Hosts restored successfully.
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27366623 B
Java, Flash, Steam htmlcache => 1185 B
Windows/system/drivers => 5514798 B
Edge => 0 B
Chrome => 0 B
Firefox => 203944490 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 49120 B
Public => 0 B
ProgramData => 0 B
systemprofile => 905001015 B
LocalService => 66228 B
NetworkService => 72628 B
Gabmer => 36751566 B
UpdatusUser => 0 B
RecycleBin => 0 B
EmptyTemp: => 1.1 GB temporary data Removed.
================================
The system needed a reboot.
==== End of Fixlog 02:08:59 ====
Al terminar el analisis, el programa pidio reiniciar el computador, y todas las sesiones activas se desabilitaron, por ejemplo aquí en el foro tuve que escribir nuevamente mi correo y contraseña para entrar nuevamente. En el reporte vi algo que hace un programa llamado WinsockFix Win, o me equivoco??
Hola @Antioisco
Es normal deberías haberlo ejecutado con todos los programas cerrados.
No te equivocas, no es un programa es un comando de Windows.
En cuanto el tema de las infecciones tu equipo ya esta limpio.
Para eliminar las herramientas utilizadas:
Descargas >> Delfix, a tu escritorio.
- Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
- Marca las casilla Remove disinfection tools y Purgue Sistem Restore
- Pulsar en Run.
Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.
En cuanto al Rasomware cada tanto se actualiza la herramienta por si quisieras desencriptar los dos archivos que te faltaron puedes suscribirte al tema:
STOP Ransomware - descifrador gratuito (STOPDecryp
Sobre el disco duro te recomiendo hagas un backup en una unidad externa de tus archivos por seguridad.
También puedes abrir un nuevo tema consultando sobre el problema del estado real de tu Disco así no se desvirtuá este tema.
Nos comentas si ya podemos dar por Solucionado este post.
Salu2.
Eliminé esos archivos del pc.
Entonces para dar el tema por solucionado me podrías dar un pequeño informe de lo que sucedió con la infeccion en el computador y el por que de que el disco duro esta en serios problemas, en que lo afectó el ransomware?. Gracias.
Hola @Antioisco
La mayoría de lo encontrado por Eset fueron las notas de rescate.
Con FRST eliminamos toda la basura de tu Pc, claves obsoletas, restos de desinstalaciones y algunos bloqueos que te dejaron las infecciones.
El Rasomware en Nada. No afecta al hardware, evidentemente tu disco se estaba dañando ya con anterioridad.
Veo que por el tema ya has recibido ayuda en:
Ahora si solo resta que comentes si ya están resueltas tus dudas.
Salu2
Así seras conduciendo?, veo que te gusta la velocidad, te agradezco por la gran ayuda que me brindaste. Ya todo está solucionado, puedes tener el placer de cerrar el tema.
Hola @Antioisco
Pues te equivocas soy una Sra. Grande que no le gusta la velocidad ni el la vida ni en los temas.
Abriste un tema especifico por un problema especifico (Rasomware) te ayude con ello, te pedí un reporte de FRST para asegurarme que no quedara basura en tu equipo, y de paso detecte y te avise que se reportaba un daño en tu disco duro.
Mas que cumplir con las reglas de este Foro para que no se desvirtúen los temas no puedo hacer.
De todas maneras fue un placer ayudarte y ya sabes donde encontrarnos.
Salu2