No logro eliminar Troyanos/Gusanos de mi equipo

Buenas tardes, hace como una semana mi equipo se infectó con el troyano sality por lo que descargué salitykiller y creo que logré eliminarlo, a partir de allí el equipo ha venido llenándose constantemente de gusanos y troyanos. He analizado y limpiado con Malwarebytes, Adwcleaner, Kaspersky Removal tool, ESET Online Scanner, DrWeb, Bitdefender, Windows Defender, McAfee, limpie con CCleaner, restauré de fábrica los navegadores, y no he logrado eliminar por completo los virus, posterior al análisis, vuelvo a realizar otro y ninguna herramienta antivirus detecta algo pero al cabo de unas horas reaparecen. Así que recurro a ustedes para que me guíen en la eliminación de estos malware. Agradezco su tiempo y atención, estoy usando Windows 10 x64, saludos.

Hola, y bienvenido.

Pega el log de Malwarebytes, AdwCleaner, Kaspersky y ESET en ese orden.

Si no los encuentras, saca antes una captura de las amenazas detectadas y sube la imagen aquí.

• ¿Como insertar una imagen?

Saludos @Facundo gracias por tu atención. A continuación adjunto los logs que me pediste.

Malwarebytes

-Detalles del registro-
Fecha del análisis: 2/6/20
Hora del análisis: 21:56
Archivo de registro: 6f62e72c-a53d-11ea-a064-0021971ac4bb.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.931
Versión del paquete de actualización: 1.0.24916
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 17134.1)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-VIJV5I1\M\u00c3\u00a9ndez

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 444134
Amenazas detectadas: 7
Amenazas en cuarentena: 7
Tiempo transcurrido: 5 hr, 17 min, 15 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 7
MachineLearning/Anomalous.95%, C:\CHECK\CHECK.EXE26-05, En cuarentena, 0, 392687, 1.0.24916, , shuriken, 
MachineLearning/Anomalous.96%, C:\PROGRAM FILES (X86)\LABCENTER ELECTRONICS\PROTEUS 8 PROFESSIONAL\BIN\LANGUAGEPACKINSTALLER.EXE, En cuarentena, 0, 392687, 1.0.24916, , shuriken, 
MachineLearning/Anomalous.100%, C:\PROGRAM FILES (X86)\LABCENTER ELECTRONICS\PROTEUS 8 PROFESSIONAL\BIN\LEGACYSETTINGSIMPORT.EXE, En cuarentena, 0, 392687, 1.0.24916, , shuriken, 
MachineLearning/Anomalous.100%, C:\PROGRAM FILES (X86)\LETASOFT SOUND BOOSTER\SOUNDBOOSTER.EXE, En cuarentena, 0, 392687, 1.0.24916, , shuriken, 
Generic.Malware/Suspicious, D:\PROYECTO C++\TROYANO COBRAX.ZIP, En cuarentena, 0, 392686, 1.0.24916, , shuriken, 
MachineLearning/Anomalous.100%, D:\UNIVERSIDAD\ELECTRONICA II\PROTEUS PROFESSIONAL 8.0\CRACK\BIN\PDS.EXE, En cuarentena, 0, 392687, 1.0.24916, , shuriken, 
MachineLearning/Anomalous.100%, D:\BATCH TO EXE\PORTABLE\BAT_TO_EXE_CONVERTER.EXE, En cuarentena, 0, 392687, 1.0.24916, , shuriken, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

# -------------------------------
# Malwarebytes AdwCleaner 8.0.5.0
# -------------------------------
# Build:    05-25-2020
# Database: 2020-05-19.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    06-03-2020
# Duration: 00:00:32
# OS:       Windows 10 Pro
# Cleaned:  5
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{0CA08C4F-9CD2-43DA-BAF8-7250E7D89967}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{470ED8A7-3393-46BA-8497-EDDE44C14AFB}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{A2618785-B9D7-4764-A919-CAF7BD69B5AB}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{CEB1A6AE-A656-4ADE-A0D8-6D6EEE080212}
Deleted       HKLM\Software\Classes\METNSD

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2584 octets] - [16/12/2019 18:54:25]
AdwCleaner[C00].txt - [2427 octets] - [16/12/2019 18:56:28]
AdwCleaner[S01].txt - [1725 octets] - [08/04/2020 03:13:18]
AdwCleaner[S02].txt - [1786 octets] - [26/05/2020 11:37:42]
AdwCleaner[C02].txt - [1920 octets] - [26/05/2020 11:38:03]
AdwCleaner[S03].txt - [2561 octets] - [03/06/2020 16:42:36]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C03].txt ##########

Kaspersky

kaspersky1046×162 5.09 KB

ESET

3/6/2020 12:05:00 p. m.
Archivos explorados: 305455
Archivos detectados: 5
Archivos desinfectados: 5
Tiempo total de exploración 05:02:49
Estado de la exploración: Finalizado


C:\Program Files\KMSpico\scripts\AddExceptionsWD.reg	Win32/HackKMS.AZ aplicación potencialmente no segura	desinfectado por eliminación
C:\Program Files\KMSpico\scripts\Silent.cmd	Win32/HackKMS.AZ aplicación potencialmente no segura	desinfectado por eliminación
C:\Users\Méndez\Downloads\elrespetoeslapaz.7z	BAT/HostsChanger.A aplicación potencialmente no segura	eliminado
D:\Descargas\Connectify 2018.rar	BAT/HostsChanger.A aplicación potencialmente no segura	eliminado
D:\Hirens Boot\Hiren's.BootCD.15.2.iso	varias amenazas,Win32/PSWTool.KonBoot.A aplicación potencialmente no segura,una variante de Win32/Adware.SpeedingUpMyPC.AM aplicación	eliminado

Cabe destacar que posterior a todos los análisis, Bitdefender y Windows Defender siguen detectando amenazas a cada rato en C:\Windows\Temp y a veces alguno que otro .exe o .rar.

Descarga los siguientes programas y dejalos en el escritorio:

• Rkill (descarga haciendo click en el boton "Download now iExplore.exe)
• MalwareBytes Anti-Rootkit | manual .

• Ejecuta como admnistrador Rkill
• Se abrira una consola similar a CMD
• Deja que trabaje de 2 a 5 minutos
• Pega el reporte que esta dentro de Rkill.txt guardado en el escritorio. No reinicies el PC al terminar, y sigue con MBAM anti-rootkit

• Actualiza MBAM Anti-Rootkit en Modo Normal leyendo su manual, y luego realizando un análisis desde Modo Seguro .

Usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

Espero sus reportes y respetivos comentarios si aun sigue detectando. Saludos.

Hola, te adjunto los logs de Rkill y Malwarebytes Anti-Rootkit. Posterior de haber ejecutado las instrucciones que me diste, Bitdefender y Windows Defender continúan notificando detecciones.

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2020 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 06/03/2020 09:45:24 PM in x64 mode.
Windows Version: Windows 10 Pro 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * C:\Windows\System32\olepro32.dll : 164.112 : 03/08/1999 04:50 PM : ce0155405ea902797e88b92a78443aeb [NoSig]
 +-> C:\Windows\SysWOW64\olepro32.dll : 89.600 : 04/11/2018 07:34 PM : abf107470f7f6326fb3056074f2715da [Pos Repl]
 +-> C:\Windows\WinSxS\wow64_microsoft-windows-ole-automation-legacy_31bf3856ad364e35_10.0.17134.1_none_29e8f13c9f3f6e63\olepro32.dll : 89.600 : 04/11/2018 07:34 PM : abf107470f7f6326fb3056074f2715da [Pos Repl]

Checking HOSTS File: 

 * No issues found.

Program finished at: 06/03/2020 09:46:56 PM
Execution time: 0 hours(s), 1 minute(s), and 31 seconds(s)

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2020.06.03.09
  rootkit: v2020.06.03.09

Windows 8 x64 NTFS (Safe Mode)
Internet Explorer 11.1.17134.0
Méndez :: DESKTOP-VIJV5I1 [administrator]

3/6/2020 9:53:33 p. m.
mbar-log-2020-06-03 (21-53-33).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 218658
Time elapsed: 26 minute(s), 19 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Gracias.

Hola.

Que amenaza te detecta Bitdefender y Windows Defender?

Hola, te adjunto imágenes de las detecciones.

bitdefender762×529 15.2 KB

windows defender839×861 48.3 KB

windows defender2996×857 47.9 KB

Gracias.

Vamos a crear un Rescue Disk con la herramienta de Kaspersky, para esto necesitaras:

• Pendrive de 1gb-4gb de espacio libre.
• La imagen .iso de Kaspersky

Para descargar la imagen .iso, entra a esta web, y realiza click en el boton “Download”, guardas la imagen .iso en el escritorio, y descargas.

Una vez descargada, conecta tu unidad usb, ve a la misma pagina, y realiza click en “How to create a bootable USB drive for Kaspersky Rescue Disk” para saber como crear un USB de rescate.

Conecta el USB con la imagen de Kaspersky ya grabada a tu equipo, reinicias y debería arrancar desde el USB, si no habría que configurar el arranque.

Una vez arranque desde el usb, se te mostrara un Sistema Operativo, Aceptas los Términos y Condiciones del programa. Una vez que cargue todo el programa, realiza click sobre “Change parameters”, y marca todas las casillas incluyendo la de “All volumes”, clickea en Ok, y luego en “Start scan” para que comience el escaneo.

Manda todo a cuarentena lo detectado por Kaspersky, una vez mandado todo a cuarentena, saca el usb del equipo y reinicia el equipo si es que no te lo pide.

Nos comentas como va.

Saludos.

Saludos @Facundo y gracias, mandé todo a cuarentena pero las detecciones persisten por parte de Bitdefender y Windows Defender, adjunto una Screenshot de lo detectado.

Screenshot_2020-06-05_11-20-011440×283 74.3 KB

Hola chicos y permiso:

@Luis994

Vamos a analizar mas profundamente tu equipo:

Paso 1:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga UsbFix a tu escritorio :

• Conecte todos sus dispositivos extraibles, USB/Pendrive\Micro SD, etc.
• Ejecute USBFix.exe

• Una vez conectados todos sus dispositivos presione en “Ejecutar análisis.”
• Posteriormente seleccione “Full Análisis” y espere a que termine.
• En caso de detectar amenazas, seleccione todo los elementos detectados y presione “Limpiar todo”
• Si le pidiera reiniciar el sistema, Acepte .
• Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado.
• Copie y pegue entero dicho reporte en su próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio)

Una vez terminado el análisis, con todas las unidades conectadas, vuelva a ejecutar USBFix como Administrador, y vacune los mismos, siguiendo los pasos del Manual.

Paso 2:

Aunque leí que ya lo ejecutaste (Seria interesante que pegues ese anterior reporte también)

Descargas, instalas y ejecutas Dr. Web.

Te dejo su Manual para que sepas como analizar el equipo, configurarlo y presta especial atención en como salvar su reporte, analiza todas las unidades.

• Manual Dr Web Curelt!

Paso 3:

Luego de reiniciar el equipo:

Realizas lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

• Ejecuta FRST.exe.
• En el mensaje de la ventana del Disclaimer, pulsamos Yes
• En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
• Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados. Utiliza el Metodo 4 de la >>> Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reportes.

Nota Importante:

Descarga todas las Herramientas a tu escritorio primero, antes de ejecutarlas apaga el Modem/Router o desenchufa el cable, desconectando tu equipo por completo de internet

Salu2

Hola @SanMar gracias por la atención. Realicé las instrucciones que me indicaste y al desactivar todos los antivirus me di cuenta de algo, hice un análisis manualmente de la carpeta Windows/temp (dicha carpeta es donde se detectaban amenazas a cada rato) y no se han detectado amenazas, así que al terminar de analizar con el usbfix y el FRST habilité solamente 1 programa antivirus (Bitdefender) y hasta ahora no ha vuelto a detectar nada, lo que me hace pensar que posiblemente haya sido un conflicto entre antivirus (por más tonto que parezca) ahora bien, no sé si esto justifique que alguno que otro .rar y .exe (en otras ubicaciones) también hayan sido detectados días atrás. De igual manera sigo atento a cualquier notificación de detección.

A continuación adjunto los reportes solicitados.

# ----------------------------------------------------
# UsbFix Antivirus Free
# ----------------------------------------------------
# Versión : 11.022
# Base de datos :  
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : Méndez (Administrador)
# Dispositivo : DESKTOP-VIJV5I1
# Comenzó : 06/06/2020 03:05:35
# ----------------------------------------------------

------------ | Discos analizados |

C:\	NTFS	(5GB/74GB)	[Fixed] 
D:\	NTFS	(677GB/75GB)	[Fixed] 
E:\	FAT32	(2GB/2GB)	[Removable] 
F:\	FAT32	(15GB/15GB)	[Removable] 

------------ | Elemento(s) infectado(s) |

~ Ningún elemento detectado ~

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] userinit.exe
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
04 - HKCU\..\Run : [EADM] "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart
04 - HKCU\..\Run : [MouseServer] "C:\Program Files (x86)\Mouse Server\MouseServer.exe"
04 - HKCU\..\Run : [NetLimiter] "C:\Program Files\Locktime Software\NetLimiter 4\nlclientapp.exe" /minimized
04 - HKCU\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKCU\..\RunOnce : [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -update pepperplugin
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [LogMeIn Hamachi Ui] "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
04 - [x64] HKLM\..\Run : [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
04 - [x64] HKLM\..\Run : [NetWorx] "C:\Program Files\NetWorx\networx.exe" /auto
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\..\Run : [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
04 - HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\..\Run : [EADM] "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart
04 - HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\..\Run : [MouseServer] "C:\Program Files (x86)\Mouse Server\MouseServer.exe"
04 - HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\..\Run : [NetLimiter] "C:\Program Files\Locktime Software\NetLimiter 4\nlclientapp.exe" /minimized
04 - HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\..\RunOnce : [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -update pepperplugin
04GS - Connectify.exe - Acceso directo.lnk : C:\Program Files (x86)\Connectify\Connectify.exe
04GS - MEGAsync.lnk : C:\ProgramData\MEGAsync\MEGAsync.exe
04GS - PCRemoteReceiver.lnk : C:\Program Files (x86)\PC Remote Receiver\PCRemoteReceiver.exe
04GS - SoftEther VPN Client Manager Startup.lnk : C:\Program Files\SoftEther VPN Client\vpncmgr_x64.exe

------------ | Tasks |

Task - Adobe Flash Player PPAPI Notifier --> C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -check pepperplugin
Task - Adobe Flash Player Updater --> C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task - Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 --> C:\Program Files\Bitdefender Agent\WatchDog.exe repair
Task - CCleaner Update --> C:\Program Files\CCleaner\CCUpdate.exe
Task - CCleanerSkipUAC --> "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
Task - CreateExplorerShellUnelevatedTask --> C:\Windows\explorer.exe /NOUACCHECK
Task - MSIAfterburner --> C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s
Task - NIUpdateServiceStartupTask --> C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe -startupTask
Task - NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log
Task - NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log
Task - NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> "C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe"
Task - NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler
Task - NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
Task - NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
Task - NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmMon.exe
Task - NvTmRepCR1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim
Task - NvTmRepCR2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim
Task - NvTmRepCR3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim
Task - NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe
Task - Opera scheduled assistant Autoupdate 1583714396 --> C:\Users\Méndez\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Méndez\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task - Opera scheduled Autoupdate 1538471005 --> C:\Users\Méndez\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0)

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[11/04/2018 - 19:34:02 | A | 808 Ko] - alert.wav
[06/11/2019 - 00:17:17 | A | 32 Ko] - installer_debug.txt
[06/06/2020 - 01:21:41 | ASH | 1677408 Ko] - hiberfil.sys
[06/06/2020 - 01:21:41 | ASH | 262144 Ko] - swapfile.sys
[06/06/2020 - 01:21:41 | ASH | 3145728 Ko] - pagefile.sys
[02/06/2019 - 21:31:33 | A | 67 Ko] - devcon.rar
[05/06/2020 - 22:11:06 | A | 3903 Ko] - aow_drv.log
[15/11/2019 - 19:26:28 | A | 4 Ko] - rehabilitador.ino
[05/10/2018 - 18:42:41 | SH | 0 Ko] - bootTel.dat
[05/10/2018 - 23:04:32 | SHD] - $Recycle.Bin
[17/09/2019 - 15:24:34 | D] - found.000
[11/04/2018 - 19:38:20 | D] - PerfLogs
[02/10/2018 - 03:40:56 | SHD] - Documents and Settings
[02/10/2018 - 03:40:56 | SHD] - Archivos de programa
[06/10/2018 - 00:22:51 | D] - LENOVOTOOLS
[07/10/2018 - 13:25:20 | RHD] - MSOCache
[11/10/2018 - 17:53:14 | RD] - Users
[19/10/2018 - 18:37:11 | SHD] - Recovery
[06/11/2019 - 00:16:10 | D] - tmp
[16/12/2019 - 18:56:17 | D] - AdwCleaner
[11/04/2020 - 17:31:48 | RD] - COMPARTIDA
[15/04/2020 - 04:14:10 | D] - FL Studio
[15/04/2020 - 04:14:25 | D] - FL Studio Curso
[23/05/2020 - 22:21:50 | D] - Sierra
[27/05/2020 - 02:05:19 | D] - KVRT_Data
[29/05/2020 - 17:59:22 | D] - devcon
[01/06/2020 - 09:42:22 | D] - GMWIN 4
[02/06/2020 - 00:58:10 | RD] - Program Files
[02/06/2020 - 01:07:20 | D] - Temp
[02/06/2020 - 01:21:34 | D] - Windows
[03/06/2020 - 03:14:19 | D] - CHECK
[06/06/2020 - 03:00:40 | HD] - ProgramData
[06/06/2020 - 03:05:10 | RD] - Program Files (x86)

------------ | D:\ - Disco fijo (NTFS) |

[29/01/2013 - 18:37:42 | A | 1427 Ko] - CARTA DE ENTRADA SEM 5 SOCIO  LUIS MENDEZ MIH2010111102.zip
[07/04/2018 - 23:50:20 | A | 29 Ko] - Balance.xlsx
[05/10/2012 - 05:15:30 | A | 0 Ko] - 8836299e.txt
[14/04/2013 - 20:49:26 | A | 0 Ko] - tttwwttt.txt
[17/06/2013 - 18:20:12 | A | 0 Ko] - Bandas Digitel y Movistar.txt
[07/11/2013 - 21:40:24 | A | 0 Ko] - buenas tareas.txt
[20/01/2014 - 22:45:00 | A | 3 Ko] - datos consumidos.txt
[09/04/2015 - 19:18:14 | A | 0 Ko] - K Export.txt
[04/10/2015 - 20:40:20 | A | 0 Ko] - mediafire link cartoon mod GTA SA.txt
[14/12/2015 - 23:52:28 | A | 0 Ko] - Codigo Liberty Express.txt
[06/05/2016 - 18:29:14 | A | 0 Ko] - lear.txt
[14/06/2016 - 20:02:30 | A | 0 Ko] - asd.txt
[05/02/2017 - 01:55:02 | A | 0 Ko] - MACRO.txt
[13/03/2017 - 02:44:41 | A | 0 Ko] - pass.txt
[04/04/2017 - 02:52:45 | A | 0 Ko] - CONTRASEÑA RICK AND MORTY.txt
[03/06/2017 - 13:08:09 | A | 0 Ko] - blockchain wallet.txt
[03/08/2017 - 01:06:32 | A | 4 Ko] - GUIA.txt
[11/08/2017 - 03:02:23 | A | 0 Ko] - ticket.txt
[28/11/2017 - 23:50:12 | A | 0 Ko] - teamspeak clave.txt
[17/01/2018 - 19:56:43 | A | 0 Ko] - IP.txt
[15/02/2018 - 03:28:33 | A | 0 Ko] - btc.txt
[18/03/2018 - 22:30:28 | A | 1 Ko] - wrong.txt
[15/10/2018 - 18:16:13 | A | 0 Ko] - DISCOS.txt
[11/01/2019 - 03:55:39 | A | 0 Ko] - cita legalizacion.txt
[05/10/2018 - 18:24:07 | HD] - msdownld.tmp
[19/10/2018 - 19:10:26 | A | 257 Ko] - SetFSB.rar
[05/09/2019 - 09:23:55 | A | 1225343 Ko] - Green_Hell-HOODLUM.part2.rar
[17/10/2019 - 00:34:37 | A | 6022 Ko] - Mis archivos recibidos.rar
[12/11/2019 - 10:46:09 | A | 400 Ko] - MECATRÓNICA.rar
[18/06/2015 - 19:11:20 | A | 16268 Ko] - ASD2.ptf
[21/04/2011 - 13:25:56 | A | 2368 Ko] - chepina.ppt
[07/08/2015 - 02:00:56 | A | 2323 Ko] - Imagen.png
[23/05/2016 - 18:50:38 | A | 1993 Ko] - SV COD.png
[25/05/2016 - 21:32:40 | A | 158 Ko] - comprobante.png
[25/06/2016 - 17:06:32 | A | 1329 Ko] - stats cod.png
[28/06/2016 - 01:07:48 | A | 52 Ko] - horario.png
[10/03/2017 - 04:11:47 | A | 1161 Ko] - numero cuenta.png
[21/06/2019 - 20:09:53 | A | 13 Ko] - diagrama luz piloto plc.png
[21/06/2019 - 21:04:41 | A | 19 Ko] - motor.png
[21/06/2019 - 22:27:10 | A | 17 Ko] - luz piloto por sensor.png
[27/11/2019 - 22:27:46 | A | 204 Ko] - foto curriculum.png
[05/06/2020 - 07:20:38 | A | 95 Ko] - Screenshot_2020-06-05_11-20-01.png
[30/03/2014 - 17:35:26 | A | 38 Ko] - SNI.pdf
[20/04/2014 - 15:03:32 | A | 39 Ko] - SNI Victoria.pdf
[25/05/2016 - 21:21:39 | A | 107 Ko] - Comprobante de pago.pdf
[29/05/2016 - 22:13:45 | A | 107 Ko] - Comprobante de pago1.pdf
[10/06/2016 - 15:07:52 | A | 105 Ko] - Comprobante de pago_01.pdf
[13/06/2016 - 15:15:26 | A | 86 Ko] - invoice_460796.pdf
[15/06/2016 - 23:03:55 | A | 102 Ko] - Comprobante de pago bsf 4000.pdf
[22/12/2016 - 00:20:58 | A | 42 Ko] - Finiquito de Indemnización PROAGRO 2863 (1).pdf
[28/02/2018 - 11:38:32 | A | 110 Ko] - Hoja vieja.pdf
[23/12/2018 - 18:00:58 | SHD] - Config.Msi
[27/11/2012 - 21:43:46 | A | 8438 Ko] - video-2012-11-27-20-40-33.mp4
[27/11/2012 - 21:50:10 | A | 7104 Ko] - video-2012-11-27-20-35-42.mp4
[26/02/2013 - 23:52:38 | A | 76117 Ko] - video-2013-02-26-17-47-24.mp4
[15/11/2019 - 13:30:06 | A | 58692 Ko] - 20191115_132334.mp4
[30/06/2015 - 13:22:04 | A | 4238 Ko] - sweet child o mine bandtrack.mp3
[30/06/2015 - 13:22:06 | A | 4238 Ko] - sweet child o mine track band.mp3
[09/02/2016 - 23:09:48 | A | 327 Ko] - Nights in White Satin Tono.mp3
[14/01/2020 - 18:15:55 | A | 1534 Ko] - Nota de voz 174.m4a
[17/02/2013 - 22:28:56 | A | 892 Ko] - Ext_vcolours_2013.jpg
[01/03/2019 - 00:37:33 | A | 58 Ko] - Screenshot_20190228-195140_Gallery.jpg
[13/07/2016 - 22:37:04 | A | 3 Ko] - M2_mustangv2only-ones-who-know-arctic-monkeys.fuse
[19/04/2018 - 16:22:03 | D] - KMSpico.v10.2.0.FINAL-heldigard
[02/05/2019 - 19:56:42 | A | 0 Ko] - Notificador.exe
[16/05/2019 - 01:27:01 | A | 153 Ko] - Conectar.exe
[26/05/2020 - 16:46:52 | A | 5221 Ko] - TMACv6.0.5_Setup.exe
[26/05/2020 - 16:49:15 | A | 9037 Ko] - WinToHDD_Free.exe
[03/04/2014 - 19:58:36 | A | 10 Ko] - Planilla (carta).docx
[08/04/2014 - 08:59:42 | A | 12 Ko] - Carta.docx
[09/04/2014 - 22:08:50 | A | 12 Ko] - 2da Carta.docx
[22/04/2015 - 00:17:54 | A | 271 Ko] - Fotos.docx
[24/11/2017 - 16:14:39 | A | 43 Ko] - Doc71.docx
[12/12/2017 - 19:39:58 | A | 16 Ko] - CAPITULO 1.docx
[09/05/2018 - 14:55:56 | A | 189 Ko] - cedula documento.docx
[27/11/2019 - 21:02:32 | A | 996 Ko] - Figuera Gonzalez Maribel M..docx
[02/10/2018 - 17:18:26 | SHD] - $RECYCLE.BIN
[24/08/2017 - 16:14:30 | A | 0 Ko] - cerrar procesos.bat
[04/05/2018 - 13:55:37 | A | 0 Ko] - AutoLogin.bat
[10/05/2019 - 22:50:27 | A | 0 Ko] - Conectar.bat
[14/05/2019 - 22:18:07 | A | 2 Ko] - bat2exeIEXP.bat
[22/10/2019 - 19:46:01 | A | 1 Ko] - COMPROBAR CONEXIÓN A INTERNET.bat
[22/10/2019 - 19:46:42 | A | 1 Ko] - error1.bat
[22/10/2019 - 19:51:17 | A | 1 Ko] - error2.bat
[22/10/2019 - 19:51:36 | A | 1 Ko] - error3.bat
[08/04/2020 - 14:41:29 | A | 1 Ko] - noerror.bat
[22/04/2020 - 02:04:05 | D] - The Revenant (2015) [1080p] [YTS.AG]
[04/10/2016 - 19:55:06 | D] - Counter-Strike 1.6
[04/10/2016 - 20:54:49 | D] - Zmodeler 2.2.4
[04/10/2016 - 20:26:14 | D] - MiniTool Partition Wizard Home Edition 8.1.1
[08/07/2019 - 18:10:45 | D] - CINEBENCH R15.038_RC184115
[05/10/2016 - 00:18:57 | D] - Project Mayhem Cheat 1.01
[02/10/2018 - 17:00:36 | SHD] - found.000
[25/08/2017 - 17:10:45 | D] - Guía de encuestas remuneradas 2.0- DineroGeeks
[15/01/2019 - 15:42:01 | D] - NI Circuit Design Suite 14.0
[04/10/2016 - 19:36:49 | D] - Acordes de Piano
[04/10/2016 - 19:37:02 | D] - APAGADO
[04/10/2016 - 19:37:02 | D] - archivos
[04/10/2016 - 19:37:06 | D] - Back up pendrive Imeco
[04/10/2016 - 19:37:20 | D] - Back-up Telefono de Fernando
[04/10/2016 - 19:49:41 | D] - cadivi
[04/10/2016 - 19:53:58 | D] - carta de reservación
[04/10/2016 - 19:53:58 | D] - CCleaner
[04/10/2016 - 19:54:00 | D] - claves de san andreas
[04/10/2016 - 19:54:00 | D] - Configuración S0beit
[04/10/2016 - 20:02:52 | D] - Diplomado
[04/10/2016 - 20:04:24 | D] - Driver AMD Radeon HD 4670
[04/10/2016 - 20:04:42 | D] - EA Games
[04/10/2016 - 20:04:43 | D] - Edicion de cleos
[04/10/2016 - 20:08:12 | D] - Fotos
[04/10/2016 - 20:08:45 | D] - Fotos premilitar
[04/10/2016 - 20:10:25 | D] - GIM Portable
[04/10/2016 - 20:10:30 | D] - GTA San Andreas User Files
[04/10/2016 - 20:15:36 | D] - IMÁGENES TRABAJO FÍSICA
[04/10/2016 - 20:25:56 | D] - Key changer
[04/10/2016 - 20:26:01 | D] - Microsoft Visual C+++
[04/10/2016 - 20:26:38 | D] - Mis archivos recibidos
[04/10/2016 - 20:49:46 | D] - Notas y SNI
[04/10/2016 - 20:51:46 | D] - Partidas de Juegos
[04/10/2016 - 20:51:52 | D] - Presert's
[04/10/2016 - 20:51:57 | D] - Proyecto de DHP III
[04/10/2016 - 20:51:59 | D] - tabla
[04/10/2016 - 20:51:59 | D] - tabla de derivadas
[04/10/2016 - 20:52:42 | D] - Videos
[04/10/2016 - 20:52:43 | D] - WINDOWS 8 USB INSTALLER
[04/10/2016 - 20:52:44 | D] - Xperia X-10 Mini
[04/10/2016 - 20:54:51 | D] - 2014_05_14
[04/10/2016 - 20:54:52 | D] - 2015_02_24
[04/10/2016 - 20:54:52 | D] - 2015_02_27
[26/11/2016 - 19:22:38 | SHD] - RECYCLER
[10/02/2017 - 02:28:02 | D] - Solucion Dell
[13/03/2017 - 16:32:06 | D] - Scrap Mechanic
[09/04/2017 - 23:18:21 | D] - Crack de Borderlands
[09/04/2017 - 23:18:33 | D] - Driver TL-WN7200ND
[23/06/2017 - 00:26:53 | D] - Mis imágenes
[25/08/2017 - 15:48:24 | D] - Acordes
[25/08/2017 - 17:10:29 | D] - skrill
[09/10/2017 - 00:58:57 | D] - Física 1
[21/10/2017 - 13:09:42 | D] - Contraseñas
[02/01/2018 - 18:33:14 | D] - Bat
[15/01/2018 - 00:11:44 | D] - TunnelGuru
[02/02/2018 - 17:18:21 | D] - Drivers TP-Link
[02/02/2018 - 17:19:15 | D] - Configuración Insurgency
[02/02/2018 - 17:19:37 | D] - Minecraft
[02/02/2018 - 17:20:31 | D] - Unturned vestimenta
[02/02/2018 - 17:21:37 | D] - Proinserfi
[07/05/2018 - 01:09:34 | D] - RIF Actualizado
[15/05/2018 - 14:00:46 | D] - Maria Victoria
[08/07/2018 - 18:52:20 | D] - GTA SA
[17/07/2018 - 00:24:08 | D] - A120
[03/08/2018 - 01:22:48 | D] - Emulador Playstation
[29/08/2018 - 16:15:55 | D] - WoW
[18/09/2018 - 17:39:00 | D] - Popcorn Time
[07/10/2018 - 23:17:58 | D] - Cita Fernando Mercantil
[07/10/2018 - 23:17:58 | D] - Cita Pilla Mercantil
[07/10/2018 - 23:17:58 | D] - Programación
[07/10/2018 - 23:17:58 | D] - RIF
[07/10/2018 - 23:20:44 | D] - Mercantil Alejandro
[11/10/2018 - 17:27:07 | SHD] - Recovery
[13/11/2018 - 12:55:05 | D] - Notificador
[11/12/2018 - 23:02:16 | D] - SteamLibrary
[23/12/2018 - 15:08:48 | D] - NVIDIA
[08/01/2019 - 01:01:12 | D] - Planillas Licencia
[16/03/2019 - 20:48:17 | D] - CPU-Z
[16/03/2019 - 20:51:54 | D] - turner
[16/03/2019 - 20:52:33 | D] - INTT
[09/04/2019 - 17:24:59 | D] - Documentos
[29/04/2019 - 17:59:40 | D] - RESPALDO DISCO LOCAL E
[26/06/2019 - 19:17:23 | D] - Mods CLEO SAMP
[08/07/2019 - 18:03:20 | D] - SAIME
[08/07/2019 - 18:03:33 | D] - suck it and see
[08/07/2019 - 18:07:15 | D] - Máquina de hacer hielo
[08/07/2019 - 18:10:22 | D] - devcon
[08/07/2019 - 18:10:33 | D] - Liberar Modem ZTE
[08/07/2019 - 18:10:33 | D] - TP-LINK TL WN7200ND
[08/07/2019 - 18:11:34 | D] - icsmanager-master
[08/07/2019 - 18:13:50 | D] - Batch to Exe
[09/08/2019 - 18:31:38 | D] - carpeta catedra
[12/11/2019 - 10:45:53 | D] - MECATRÓNICA
[21/11/2019 - 21:16:40 | D] - INFORME DE GESTIÓN
[21/11/2019 - 21:17:52 | D] - ICE-0250
[23/11/2019 - 17:45:59 | D] - The Forest
[06/04/2020 - 17:16:58 | D] - Cédula Sharon
[06/04/2020 - 17:17:31 | D] - melodyne
[11/04/2020 - 21:31:14 | D] - WiresharkPortable
[05/05/2020 - 13:34:08 | D] - disco C
[16/05/2020 - 17:56:54 | D] - Carta invitación México
[16/05/2020 - 17:57:18 | D] - UNIVERSIDAD
[16/05/2020 - 17:59:03 | D] - Spectrum
[16/05/2020 - 18:00:02 | D] - cedula y rif
[16/05/2020 - 18:00:41 | D] - LocalBitcoins
[26/05/2020 - 11:17:45 | D] - Alci's IMG Editor
[26/05/2020 - 11:17:45 | D] - FEAR 3 Crack
[26/05/2020 - 11:17:45 | D] - GPUShark
[26/05/2020 - 11:17:45 | D] - RealTemp
[28/05/2020 - 03:07:31 | D] - Riot Games
[31/05/2020 - 03:54:19 | D] - Program Files
[01/06/2020 - 21:06:57 | AD] - Call Of Duty Modern Warfare 4
[02/06/2020 - 06:50:11 | D] - CHECK
[02/06/2020 - 15:10:32 | D] - Temp
[03/06/2020 - 03:14:20 | D] - Proyecto C++
[03/06/2020 - 08:00:40 | D] - Hirens Boot
[05/06/2020 - 01:05:37 | AD] - KRD2018_Data
[05/06/2020 - 04:10:55 | D] - Descargas
[05/06/2020 - 04:18:08 | D] - Rufus

------------ | E:\ - Disco extraíble (FAT32) |


------------ | F:\ - Disco extraíble (FAT32) |


Elemento(s) infectado(s) : 0
Elementos analizados : 94101 en 00h 00m 16s

# UsbFix-Report-01.txt [18803B]

------------ | E.O.F  |

Dr. Web (reporte viejo)

Editado: No es la parte del log solicitado.

Dr. Web (reporte reciente)

Editado: No es la parte del log solicitado.

FRST.txt (56,2 KB) Addition.txt (66,5 KB)

Al ver que no había detecciones, habilité Windows Defender y desactivé los demás software antivirus, las detecciones reaparecieron.

Hola @Luis994

Sobre los reportes de Dr. Web los edite ya que ninguno de los dos tenia el sector que necesito, y que por ello te pedí que vieras en el manual:

Buscaremos el Informe para pegarlo en el Foro:

De forma predeterminada, una vez que Dr. Web CureIt! finaliza de escanear el sistema operativo, crea un reporte que puede encontrar en la siguiente ruta:

Disco C\Nombre de Usuario\Dr Web\ Curelt.log

Colócalos utilizando el Método 4 de la Guia tal como hiciste con FRST,

En cuanto a los prolemas con Windows Defender analizando tu equipo (reportes) surge que:

• Platform: Windows 10 Pro Versión 1803

1.- Tienes una versión bastante antigua de Windows 10 (1803) y ya va por la 2004 aunque al menos la 1909 es la que deberías tener, tienes las actualizaciones automáticas habilitadas?

2.- Sabes que si no actualizas Windows 10 no se actualiza Windows Defender?

3.- Tu Windows 10 es original?

4.- Como ya sabrás no es conveniente tener dos antivirus, por ello en Windows 10 cuando se instala un antivirus de terceros en este caso tu (Bitdefender) automáticamente debería quedar deshabilitado Windows Defender, cosa que en tu equipo no sucedió. Y esto puede ser parte del problema.

Realiza con atención los pasos que te dejo a continuación.

Por el momento con ambos antivirus desactivados.

Paso 1:

Desinstala con su >>> Herramienta especifica el antivirus Bitdefender.

Reinicia el equipo.

Paso 2:

Activa Windows Defender.

Activa Windows Update, en este momento no interesan las actualizaciones de Características o para actualizar versiones, pero si instala todas las relacionadas con seguridad y actualizaciones de Windows Defender.

Paso 3:

Desinstala con Revo Uninstaller en su Modo Avanzado:

• Todas las versiones obsoletas que tengas de JAVA

Manual de Revo Uninstaller.

Y luego vas a su página y con los instaladores Fuera de linea actualizas >>> JAVA

Recuerda:

Si utiliza exploradores de 32 y 64 bits indistintamente, deberá instalar Java de 32 y de 64 bits para poder contar con el plugin de Java para ambos exploradores.

Paso 4:

Con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

• Descarga/Ejecuta DelFix desde el escritorio de Windows.
• Clic Derecho, “Ejecutar como Administrador”.
• En la ventana principal, marca solamente la casilla “Create Registry Backup”.
• Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
HKLM\...\Run: [Revsoft Hotspot] => [X]
HKLM-x32\...\RunOnce: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\...\MountPoints2: {e10c2346-c657-11e8-bbc8-0021971ac4bb} - "F:\AutoRun.exe" 
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\83.0.4103.61\Installer\chrmstp.exe [2020-05-21] (Google LLC -> Google LLC)
GroupPolicy: Restricción ? <==== ATENCIÓN
Task: {8CBC8EBF-079E-49DE-86F7-36F8E4A3FD80} - System32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 => C:\Program Files\Bitdefender Agent\WatchDog.exe [491320 2020-05-12] (Bitdefender SRL -> Bitdefender)
Task: {B7AC62A7-1EA3-4F30-A212-DCD75EA48885} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe /NOUACCHECK
S3 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.4.3.242\WsAppService.exe [X]
S3 zkservice; "C:\Program Files (x86)\zksoft\marswifi\zkservice.exe" /service zkservice [X]
S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
2020-06-01 09:43 - 2020-06-03 03:32 - 000000696 _____ C:\Users\Méndez\Desktop\ESET Online Scanner.lnk
2020-06-01 09:43 - 2020-06-01 09:43 - 000001452 _____ C:\Users\Méndez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2020-06-01 09:43 - 2020-06-01 09:43 - 000000000 ____D C:\Users\Méndez\AppData\Local\ESET
2020-06-01 09:27 - 2020-06-01 09:27 - 000000000 ____D C:\ProgramData\48C4687D-9760-4F5B-BAB3-60351B0841E4
2020-06-01 09:17 - 2020-06-01 09:22 - 014665312 _____ (ESET spol. s r.o.) C:\Users\Méndez\Downloads\esetonlinescanner.exe
2020-05-26 21:58 - 2020-05-27 02:05 - 000000000 ____D C:\KVRT_Data
2020-05-26 14:06 - 2020-05-26 15:46 - 008485951 _____ C:\Users\Méndez\Downloads\wzo50s3z.exe.opdownload
2020-05-26 13:05 - 2020-05-26 13:10 - 000295520 ____N (Kaspersky Lab ZAO) C:\Users\Méndez\Downloads\salitykiller.exe
2020-05-26 13:05 - 2020-05-26 13:09 - 003448880 _____ C:\Users\Méndez\Downloads\avg_remover_slt.exe
2020-05-26 15:22 - 2020-05-26 15:32 - 002774272 _____ C:\Users\Méndez\Downloads\rmparite.exe
2020-05-26 12:58 - 2020-05-29 03:09 - 000000000 ____D C:\ProgramData\McAfee
2020-05-26 12:38 - 2020-05-26 12:56 - 005714640 _____ (McAfee, LLC) C:\Users\Méndez\Downloads\mcafee_trial_setup_433.0207.3919_key.exe
2020-06-05 04:47 - 2018-10-15 14:06 - 000003658 _____ C:\Windows\system32\Tasks\CreateExplorerShellUnelevatedTask
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Ningún archivo
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Ningún archivo
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
AlternateDataStreams: C:\Windows\System32:tdsrset_i.gfc [5846]
AlternateDataStreams: C:\Users\Méndez\Datos de programa:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Méndez\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [468]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\27711082.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\27711082.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END::

• Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

• Ejecute Frst.exe o Frst64.exe. según el caso.
• Presione el botón Fix/Corregir y aguarde a que termine.
• La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
• Reinicia y lo pega en su próxima respuesta.

Punto 5:

Aquí debajo se ve claramente cual es tu problema: Windows Defender detecta el HackTool:Win32/AutoKMS (Programita conocido para piratear Windows y Office)

La ruta de acceso ya la sabemos:

Ruta de acceso: file:_C:\Windows\Temp\tmp00000557\tmp000008bc

Pero lo que me resulto interesante que lo asocia a un proceso de tu Av…

• Nombre de proceso: C:\Program Files\Bitdefender Antivirus Free\ vsserv.exe <<< Servicio de Seguridad de Bitdefender.

Windows Defender:

Date: 2020-06-06 01:09:37.929

Description: 
Antivirus de Windows Defender detectó malware u otro software potencialmente no deseado.

Para obtener más información consulte lo siguiente:

https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS&threatid=2147685180&enterprise=0

Nombre: HackTool:Win32/AutoKMS
Id.: 2147685180
Gravedad: Alta
Categoría: Herramienta
Ruta de acceso: 
file:_C:\Windows\Temp\tmp00000557\tmp000008bc;file:_C:\Windows\TEMP\tmp00000557\tmp000008ca;file:_C:\Windows\TEMP\tmp00000557\tmp000008cb;file:_C:\Windows\TEMP\tmp00000557\tmp000008d3

Origen de detección: Equipo local
Tipo de detección: Concreto
Fuente de detección: Protección en tiempo real
Usuario: NT AUTHORITY\SYSTEM
Nombre de proceso: C:\Program Files\Bitdefender Antivirus Free\vsserv.exe
Versión de firma: AV: 1.317.657.0, AS: 1.317.657.0, NIS: 1.317.657.0
Versión de motor: AM: 1.1.17100.2, NIS: 1.1.17100.2

Luego de reiniciar nos traes el Fixlog, no te preocupes si aun sigue detectandote el problema, ya que aun quedaran restos de Bitdefender, pero luego que hagas todos los pasos la seguimos…

Nos comentas.

Salu2

Saludos @SanMar, respecto a tus preguntas:

1.- Tenía desactivada las actualizaciones por cuestión de lentitud del servicio de internet.

2.- No tenía conocimiento de eso.

3.- La .iso no está alterada, la descargué de microsoft pero usé un programa para la activación (no es pago). Dicho programa lo eliminé ya que con este problema también era detectado, sin embargo posterior a su eliminación continuaba siendo detectado.

Siguiendo las instrucciones que me diste, hasta ahora no ha vuelto a notificar detecciones. Adjunto los reportes, en el cureit.txt reciente, únicamente fue detectada la herramienta USBFix, lo anexé en el reporte ya que no sale al final del mismo ni sale el “start curing”.

Gracias nuevamente @Facundo @SanMar por el tiempo dedicado y la atención brindada!

cureit 06-06-2020.txt (2,3 KB) cureit 29-05-2020.txt (1,1 KB) Fixlog.txt (12,4 KB)

Hola @Luis994

Perfecto el Fixlog se ejecuto correctamente, si ya pudiste actualizar Windows Defender, realiza un análisis de todo el equipo.

Una vez que termines si te detecta algo relacionado al tema que tratamos, tomas imágenes trata que se vea completa la ruta.

Reinicias, lo desactivas como ya sabes y vuelves a ejecutar FRST como la primera vez y nos pegas ambos reportes (FRST y Addition).

Y mañana la seguimos por que por aquí ya es muuuuuy tarde…

Salu2

Hola, realicé el análisis con Windows Defender y detectó 1 elemento, adjunto lo solicitado.

windows defender997×858 46.5 KB

FRST.txt (54,1 KB) Addition.txt (63,3 KB)

Gracias.

Un mensaje ha sido separado a un nuevo tema: Email-Worm combinado con un encriptador

2 mensajes han sido unidos a un tema existente: Email-Worm combinado con un encriptador

Hola @Luis994

Lo detectado por WD se encuentra en tu Onedrive. Es el updater.

Utilizas Onedrive en tu ordenador?

Sobre los reportes mientras los analizo, llegaste a desinstalar Bitdefender?

Salu2

Buenas noches, no uso Onedrive, desinstalé todos los antivirus, solo tengo Windows Defender.