No logro eliminar Troyanos/Gusanos de mi equipo

Hola @Luis994

Sobre los reportes de Dr. Web los edite ya que ninguno de los dos tenia el sector que necesito, y que por ello te pedí que vieras en el manual:

Buscaremos el Informe para pegarlo en el Foro:

De forma predeterminada, una vez que Dr. Web CureIt! finaliza de escanear el sistema operativo, crea un reporte que puede encontrar en la siguiente ruta:

Disco C\Nombre de Usuario\Dr Web\ Curelt.log

Colócalos utilizando el Método 4 de la Guia tal como hiciste con FRST,


En cuanto a los prolemas con Windows Defender analizando tu equipo (reportes) surge que:

  • Platform: Windows 10 Pro Versión 1803

1.- Tienes una versión bastante antigua de Windows 10 (1803) y ya va por la 2004 aunque al menos la 1909 es la que deberías tener, tienes las actualizaciones automáticas habilitadas?

2.- Sabes que si no actualizas Windows 10 no se actualiza Windows Defender?

3.- Tu Windows 10 es original?

4.- Como ya sabrás no es conveniente tener dos antivirus, por ello en Windows 10 cuando se instala un antivirus de terceros en este caso tu (Bitdefender) automáticamente debería quedar deshabilitado Windows Defender, cosa que en tu equipo no sucedió. Y esto puede ser parte del problema.


Realiza con atención los pasos que te dejo a continuación.

Por el momento con ambos antivirus desactivados.

Paso 1:

Desinstala con su >>> Herramienta especifica el antivirus Bitdefender.

Reinicia el equipo.

Paso 2:

Activa Windows Defender.

Activa Windows Update, en este momento no interesan las actualizaciones de Características o para actualizar versiones, pero si instala todas las relacionadas con seguridad y actualizaciones de Windows Defender.

Paso 3:

Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Todas las versiones obsoletas que tengas de JAVA

Manual de Revo Uninstaller.

Y luego vas a su página y con los instaladores Fuera de linea actualizas >>> JAVA

Recuerda:

Si utiliza exploradores de 32 y 64 bits indistintamente, deberá instalar Java de 32 y de 64 bits para poder contar con el plugin de Java para ambos exploradores.

Paso 4:

Con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
HKLM\...\Run: [Revsoft Hotspot] => [X]
HKLM-x32\...\RunOnce: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-3244362241-3479270138-3392189060-1001\...\MountPoints2: {e10c2346-c657-11e8-bbc8-0021971ac4bb} - "F:\AutoRun.exe" 
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\83.0.4103.61\Installer\chrmstp.exe [2020-05-21] (Google LLC -> Google LLC)
GroupPolicy: Restricción ? <==== ATENCIÓN
Task: {8CBC8EBF-079E-49DE-86F7-36F8E4A3FD80} - System32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 => C:\Program Files\Bitdefender Agent\WatchDog.exe [491320 2020-05-12] (Bitdefender SRL -> Bitdefender)
Task: {B7AC62A7-1EA3-4F30-A212-DCD75EA48885} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe /NOUACCHECK
S3 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.4.3.242\WsAppService.exe [X]
S3 zkservice; "C:\Program Files (x86)\zksoft\marswifi\zkservice.exe" /service zkservice [X]
S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
2020-06-01 09:43 - 2020-06-03 03:32 - 000000696 _____ C:\Users\Méndez\Desktop\ESET Online Scanner.lnk
2020-06-01 09:43 - 2020-06-01 09:43 - 000001452 _____ C:\Users\Méndez\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2020-06-01 09:43 - 2020-06-01 09:43 - 000000000 ____D C:\Users\Méndez\AppData\Local\ESET
2020-06-01 09:27 - 2020-06-01 09:27 - 000000000 ____D C:\ProgramData\48C4687D-9760-4F5B-BAB3-60351B0841E4
2020-06-01 09:17 - 2020-06-01 09:22 - 014665312 _____ (ESET spol. s r.o.) C:\Users\Méndez\Downloads\esetonlinescanner.exe
2020-05-26 21:58 - 2020-05-27 02:05 - 000000000 ____D C:\KVRT_Data
2020-05-26 14:06 - 2020-05-26 15:46 - 008485951 _____ C:\Users\Méndez\Downloads\wzo50s3z.exe.opdownload
2020-05-26 13:05 - 2020-05-26 13:10 - 000295520 ____N (Kaspersky Lab ZAO) C:\Users\Méndez\Downloads\salitykiller.exe
2020-05-26 13:05 - 2020-05-26 13:09 - 003448880 _____ C:\Users\Méndez\Downloads\avg_remover_slt.exe
2020-05-26 15:22 - 2020-05-26 15:32 - 002774272 _____ C:\Users\Méndez\Downloads\rmparite.exe
2020-05-26 12:58 - 2020-05-29 03:09 - 000000000 ____D C:\ProgramData\McAfee
2020-05-26 12:38 - 2020-05-26 12:56 - 005714640 _____ (McAfee, LLC) C:\Users\Méndez\Downloads\mcafee_trial_setup_433.0207.3919_key.exe
2020-06-05 04:47 - 2018-10-15 14:06 - 000003658 _____ C:\Windows\system32\Tasks\CreateExplorerShellUnelevatedTask
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Ningún archivo
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Ningún archivo
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
AlternateDataStreams: C:\Windows\System32:tdsrset_i.gfc [5846]
AlternateDataStreams: C:\Users\Méndez\Datos de programa:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Méndez\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [468]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\27711082.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\27711082.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END::
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Punto 5:

Aquí debajo se ve claramente cual es tu problema: Windows Defender detecta el HackTool:Win32/AutoKMS (Programita conocido para piratear Windows y Office)

La ruta de acceso ya la sabemos:

Ruta de acceso: file:_C:\Windows\Temp\tmp00000557\tmp000008bc

Pero lo que me resulto interesante que lo asocia a un proceso de tu Av…:thinking:

  • Nombre de proceso: C:\Program Files\Bitdefender Antivirus Free\ vsserv.exe <<< Servicio de Seguridad de Bitdefender.

Windows Defender:

Date: 2020-06-06 01:09:37.929

Description: 
Antivirus de Windows Defender detectó malware u otro software potencialmente no deseado.

Para obtener más información consulte lo siguiente:

https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS&threatid=2147685180&enterprise=0

Nombre: HackTool:Win32/AutoKMS
Id.: 2147685180
Gravedad: Alta
Categoría: Herramienta
Ruta de acceso: 
file:_C:\Windows\Temp\tmp00000557\tmp000008bc;file:_C:\Windows\TEMP\tmp00000557\tmp000008ca;file:_C:\Windows\TEMP\tmp00000557\tmp000008cb;file:_C:\Windows\TEMP\tmp00000557\tmp000008d3

Origen de detección: Equipo local
Tipo de detección: Concreto
Fuente de detección: Protección en tiempo real
Usuario: NT AUTHORITY\SYSTEM
Nombre de proceso: C:\Program Files\Bitdefender Antivirus Free\vsserv.exe
Versión de firma: AV: 1.317.657.0, AS: 1.317.657.0, NIS: 1.317.657.0
Versión de motor: AM: 1.1.17100.2, NIS: 1.1.17100.2

Luego de reiniciar nos traes el Fixlog, no te preocupes si aun sigue detectandote el problema, ya que aun quedaran restos de Bitdefender, pero luego que hagas todos los pasos la seguimos…:+1:

Nos comentas.

Salu2