No me funciona Rkill (parte 1)

Stubborn · 24 Enero, 2022 17:17

Ingresé a modo seguro con funciones de red siguiendo instrucciones para Windows 10:

rKill se detuvo en “performing miscelaneous checks” ya lleva 10 minutos allí.

Chicloi · 24 Enero, 2022 17:23

Espera que finalice todo el proceso de análisis! Finalizar finalizará!

Cuando finalice el Proceso de Análisis me lo comunica!

Stubborn · 24 Enero, 2022 18:38

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/24/2022 02:27:07 PM in x64 mode. (Safe Mode)
Windows Version: Windows 10 Home Single Language 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 01/24/2022 03:03:56 PM
Execution time: 0 hours(s), 36 minute(s), and 49 seconds(s)

Chicloi · 24 Enero, 2022 19:52

Realice los pasos que le he indicado en este foro

Cuando termine dicho procedimiento inmediatamente aplicar el programa: Malwarebytes siguiendo el Manual de Uso que le he indicado en este foro.

Stubborn · 25 Enero, 2022 00:28

Listo.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 24/1/22
Hora del análisis: 15:14
Archivo de registro: 7fe234bc-7d41-11ec-858b-705a0fcd1b43.json

-Información del software-
Versión: 4.5.2.157
Versión de los componentes: 1.0.1562
Versión del paquete de actualización: 1.0.50233
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 19044.1466)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-AF7LB9S1\Pablo Iñiguez Araven

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 782292
Amenazas detectadas: 5
Amenazas en cuarentena: 5
Tiempo transcurrido: 5 hr, 46 min, 46 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 1
PUP.Optional.BundleInstaller, HKU\S-1-5-21-3719264506-3836934912-673182883-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\UTORRENT, En cuarentena, 510, 977807, , , , , , 

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 4
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\UTORRENT\UPDATES\3.5.5_46090.EXE, En cuarentena, 510, 977807, 1.0.50233, , ame, , 316C70E0D79DBC9C1430AD49FF56BD6D, 628E54FD63A30DA509B1E6006639BFBB457C753D5E029CA0EDA32197B06EBB58
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk, En cuarentena, 510, 977807, , , , , AA90C919789670933399F17F7F9F2B54, EF46F4F9A853C9A909BF421CACEAC50F09150097C6AE15A78754A31821C0B440
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\Microsoft\Windows\Start Menu\µTorrent.lnk, En cuarentena, 510, 977807, , , , , 41357E3F50625DD43584D4EC24233E37, 462DCFF193E0518B8D7E00EA5171314D96F97CD113A3A16FDC6324BF51510A84
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE, En cuarentena, 510, 977807, 1.0.50233, , ame, , 316C70E0D79DBC9C1430AD49FF56BD6D, 628E54FD63A30DA509B1E6006639BFBB457C753D5E029CA0EDA32197B06EBB58

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Chicloi · 25 Enero, 2022 00:30

¿Cuando ha realizado este procedimiento le ha pedido el programa que reinicie el equipo?

Quedo a la espera de su respuesta!

Chicloi · 25 Enero, 2022 00:39

Ahora siga este paso! Descarge e Instale el siguiente programa: MALWAREBYTES ANTI-ROOTKIT BETA y siga su: Manual de Uso para que sepa como utilizarlo y configurarlo correctamente y elimine "TODAS" las infecciones y amenazas que encuentre:

Pásele el programa: Rkill, en primer lugar, esperas que termine el proceso de Análisis por completo y después realice este paso:

Url de Descarga: "MALWAREBYTES ANTI-ROOTKIT BETA":Malwarebytes Anti-Rootkit BETA es una tecnología puntera para la detección y eliminación de los rootkits maliciosos más agresivos | Malwarebytes ("ELIMINE" todo lo que encuentre)

Manual de Uso: Manual Malwarebytes Anti-Rootkit Beta ("ELIMINE" todo lo que encuentre)

Mándeme dicho Informe que genere ó una Captura de Pantalla.

Stubborn · 25 Enero, 2022 11:00

No, no me pidió reiniciar. Yo apagué el computador.

Ahora tengo trabajo que realizar asi es que realizaré los nuevos pasos en 2 horas mas aproximadamente. Supongo que tiene que hacerse en el modo seguro con conexión de red también.

Chicloi · 25 Enero, 2022 11:33

Si, exacto, tiene que realizar el procedimiento en Modo Seguro con Conexión de Red, siguiendo los pasos que ha estado realizando correctamente.

Quedo a la espera de su respuesta!

Stubborn · 26 Enero, 2022 00:36

Rkill listo.

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/25/2022 10:07:06 AM in x64 mode. (Safe Mode)
Windows Version: Windows 10 Home Single Language 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 01/25/2022 10:54:26 AM
Execution time: 0 hours(s), 47 minute(s), and 20 seconds(s)

MB anti rootkill beta terminó también

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2022.01.25.07
  rootkit: v2022.01.25.06

Windows 10 x64 NTFS (Safe Mode/Networking)
Internet Explorer 11.789.19041.0
Pablo Iñiguez Araven :: LAPTOP-AF7LB9S1 [administrator]

25-01-2022 10:59:37
mbar-log-2022-01-25 (10-59-37).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 220125
Time elapsed: 10 hour(s), 19 minute(s), 19 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\MSBuild.exe (Trojan.Agent) -> Delete on reboot. [73e8ab203cb860d6f997971f01ff40c0]

Physical Sectors Detected: 0
(No malicious items detected)

(end)

---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.10.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 10.0.9200 Windows 10 x64

Account is Administrative

Internet Explorer version: 11.789.19041.0

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 1.600000 GHz
Memory total: 4145299456, free: 985403392

Downloaded database version: v2022.01.20.01
Downloaded database version: v2022.01.20.01
Downloaded database version: v2018.01.20.01
=======================================
Initializing...
Driver version: 4.3.0.15
------------ Kernel report ------------
     01/20/2022 02:41:43
------------ Loaded modules -----------
\SystemRoot\system32\ntoskrnl.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kd.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\System32\drivers\CLFS.SYS
\SystemRoot\System32\drivers\tm.sys
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\BOOTVID.dll
\SystemRoot\System32\drivers\FLTMGR.SYS
\SystemRoot\System32\drivers\msrpc.sys
\SystemRoot\System32\drivers\ksecdd.sys
\SystemRoot\System32\drivers\clipsp.sys
\SystemRoot\System32\drivers\cmimcext.sys
\SystemRoot\System32\drivers\werkernel.sys
\SystemRoot\System32\drivers\ntosext.sys
\SystemRoot\system32\CI.dll
\SystemRoot\System32\drivers\cng.sys
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\WppRecorder.sys
\SystemRoot\system32\drivers\SleepStudyHelper.sys
\SystemRoot\System32\Drivers\acpiex.sys
\SystemRoot\system32\drivers\SgrmAgent.sys
\SystemRoot\System32\drivers\ACPI.sys
\SystemRoot\System32\drivers\WMILIB.SYS
\SystemRoot\System32\drivers\msisadrv.sys
\SystemRoot\System32\drivers\pci.sys
\SystemRoot\System32\drivers\tpm.sys
\SystemRoot\System32\drivers\intelpep.sys
\SystemRoot\system32\drivers\WindowsTrustedRT.sys
\SystemRoot\System32\drivers\IntelTA.sys
\SystemRoot\System32\drivers\WindowsTrustedRTProxy.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\klupd_2c55d5c1a_arkmon.sys
\SystemRoot\System32\drivers\vdrvroot.sys
\SystemRoot\System32\Drivers\sptd2.sys
\SystemRoot\system32\drivers\pdc.sys
\SystemRoot\system32\drivers\CEA.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\System32\drivers\spaceport.sys
\SystemRoot\System32\drivers\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\System32\drivers\storahci.sys
\SystemRoot\System32\drivers\storport.sys
\SystemRoot\System32\drivers\EhStorClass.sys
\SystemRoot\System32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Wof.sys
\SystemRoot\system32\drivers\wd\WdFilter.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\System32\drivers\wfplwfs.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\System32\drivers\volume.sys
\SystemRoot\System32\drivers\volsnap.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\Drivers\klupd_2c55d5c1a_klbg.sys
\SystemRoot\system32\drivers\iorate.sys
\SystemRoot\System32\drivers\disk.sys
\SystemRoot\System32\drivers\CLASSPNP.SYS
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\drivers\cdrom.sys
\SystemRoot\system32\drivers\filecrypt.sys
\SystemRoot\system32\drivers\tbs.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DriverStore\FileRepository\basicdisplay.inf_amd64_65ab9a260dbf7467\BasicDisplay.sys
\SystemRoot\System32\DriverStore\FileRepository\basicrender.inf_amd64_df49c4daa6251397\BasicRender.sys
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\CimFS.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\afunix.sys
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\System32\drivers\vwififlt.sys
\SystemRoot\System32\drivers\pacer.sys
\SystemRoot\System32\drivers\ndiscap.sys
\SystemRoot\system32\drivers\netbios.sys
\SystemRoot\System32\drivers\Vid.sys
\SystemRoot\System32\drivers\winhvr.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\??\C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS
\??\C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\System32\drivers\npsvctrig.sys
\SystemRoot\System32\drivers\mssmbios.sys
\??\C:\WINDOWS\System32\drivers\GUBootStartup.sys
\SystemRoot\System32\drivers\gpuenergydrv.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\System32\Drivers\fastfat.SYS
\SystemRoot\system32\drivers\bam.sys
\SystemRoot\system32\DRIVERS\ahcache.sys
\SystemRoot\System32\DriverStore\FileRepository\compositebus.inf_amd64_7500cffa210c6946\CompositeBus.sys
\SystemRoot\System32\drivers\kdnic.sys
\SystemRoot\System32\DriverStore\FileRepository\umbus.inf_amd64_b78a9c5b6fd62c27\umbus.sys
\SystemRoot\System32\drivers\CAD.sys
\SystemRoot\system32\DRIVERS\igdkmd64lp.sys
\SystemRoot\System32\drivers\dptf_cpu.sys
\SystemRoot\System32\drivers\USBXHCI.SYS
\SystemRoot\system32\drivers\ucx01000.sys
\SystemRoot\System32\drivers\TXEIx64.sys
\SystemRoot\System32\drivers\HDAudBus.sys
\SystemRoot\System32\drivers\portcls.sys
\SystemRoot\System32\drivers\drmk.sys
\SystemRoot\System32\drivers\ks.sys
\SystemRoot\system32\DRIVERS\bcmwl63a.sys
\SystemRoot\System32\drivers\vwifibus.sys
\SystemRoot\System32\drivers\rt640x64.sys
\SystemRoot\System32\drivers\msgpiowin32.sys
\SystemRoot\System32\drivers\mshidkmdf.sys
\SystemRoot\System32\drivers\HIDCLASS.SYS
\SystemRoot\System32\drivers\HIDPARSE.SYS
\SystemRoot\System32\drivers\i8042prt.sys
\SystemRoot\system32\DRIVERS\ETD.sys
\SystemRoot\System32\drivers\kbdclass.sys
\SystemRoot\System32\drivers\mouclass.sys
\SystemRoot\System32\drivers\ETDSMBus.sys
\SystemRoot\System32\drivers\CmBatt.sys
\SystemRoot\System32\drivers\BATTC.SYS
\SystemRoot\System32\drivers\WirelessButtonDriver64.sys
\SystemRoot\System32\drivers\intelppm.sys
\SystemRoot\System32\drivers\wmiacpi.sys
\SystemRoot\System32\drivers\dptf_acpi.sys
\SystemRoot\System32\DriverStore\FileRepository\uefi.inf_amd64_c1628ffa62c8e54c\UEFI.sys
\SystemRoot\System32\drivers\NdisVirtualBus.sys
\SystemRoot\System32\DriverStore\FileRepository\swenum.inf_amd64_16a14542b63c02af\swenum.sys
\SystemRoot\System32\drivers\rdpbus.sys
\SystemRoot\System32\drivers\kbdhid.sys
\SystemRoot\System32\drivers\UsbHub3.sys
\SystemRoot\System32\drivers\USBD.SYS
\SystemRoot\system32\drivers\RTKVHD64.sys
\SystemRoot\system32\drivers\ksthunk.sys
\SystemRoot\System32\drivers\IntcDAud.sys
\SystemRoot\System32\drivers\usbccgp.sys
\SystemRoot\System32\Drivers\usbvideo.sys
\SystemRoot\system32\drivers\bcbtums.sys
\SystemRoot\System32\drivers\BTHport.sys
\SystemRoot\System32\drivers\BTHUSB.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\Drivers\dump_diskdump.sys
\SystemRoot\System32\drivers\dump_storahci.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\System32\win32kbase.sys
\SystemRoot\System32\win32kfull.sys
\SystemRoot\System32\drivers\dxgmms2.sys
\SystemRoot\System32\drivers\monitor.sys
\SystemRoot\System32\cdd.dll
\SystemRoot\System32\drivers\esif_lf.sys
\SystemRoot\System32\drivers\WUDFRd.sys
\SystemRoot\system32\drivers\mmcss.sys
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\drivers\wcifs.sys
\SystemRoot\system32\drivers\cldflt.sys
\SystemRoot\system32\drivers\storqosflt.sys
\SystemRoot\system32\drivers\bindflt.sys
\SystemRoot\system32\drivers\lltdio.sys
\SystemRoot\system32\drivers\mslldp.sys
\SystemRoot\system32\drivers\rspndr.sys
\SystemRoot\System32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\nwifi.sys
\SystemRoot\system32\drivers\ndisuio.sys
\SystemRoot\system32\drivers\msquic.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\System32\drivers\condrv.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\System32\drivers\vwifimp.sys
\??\C:\WINDOWS\system32\drivers\acedrv11.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\system32\drivers\Ndu.sys
\??\C:\WINDOWS\system32\drivers\npf.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\drivers\tcpipreg.sys
\SystemRoot\System32\drivers\rassstp.sys
\SystemRoot\System32\DRIVERS\NDProxy.sys
\SystemRoot\System32\drivers\AgileVpn.sys
\SystemRoot\System32\drivers\rasl2tp.sys
\SystemRoot\System32\drivers\raspptp.sys
\SystemRoot\System32\DRIVERS\raspppoe.sys
\SystemRoot\System32\DRIVERS\ndistapi.sys
\SystemRoot\System32\drivers\ndiswan.sys
\SystemRoot\system32\drivers\wd\WdNisDrv.sys
\??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
\??\C:\WINDOWS\system32\drivers\45719288.sys
----------- End -----------
Done!

Scan started
Database versions:
  main:    v2022.01.20.01
  rootkit: v2022.01.20.01

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffff9e8f058a1060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
--------- Disk Stack ------
DevicePointer: 0xffff9e8f0581e8d0, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffff9e8f058a1060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
DevicePointer: 0xffff9e8f0570f050, DeviceName: \Device\0000002f\, DriverName: \Driver\storahci\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
This drive is a GPT Drive.
MBR Signature: 55AA
Disk Signature: 0

GPT Protective MBR Partition information:

    Partition 0 type is EFI-GPT (0xee)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1  Numsec = 4294967295

    Partition 1 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

GPT Partition information:

    GPT Header Signature 4546492050415254
    GPT Header Revision 65536 Size 92 CRC 826856347
    GPT Header CurrentLba = 1 BackupLba 976773167
    GPT Header FirstUsableLba 34  LastUsableLba 976773134
    GPT Header Guid 669b7fd5-aba4-4ecc-9a95-c99d504f9310
    GPT Header Contains 128 partition entries starting at LBA 2
    GPT Header Partition entry size = 128

    Backup GPT header Signature 4546492050415254
    Backup GPT header Revision 65536 Size 92 CRC 826856347
    Backup GPT header CurrentLba = 976773167 BackupLba 1
    Backup GPT header FirstUsableLba 34  LastUsableLba 976773134
    Backup GPT header Guid 669b7fd5-aba4-4ecc-9a95-c99d504f9310
    Backup GPT header Contains 128 partition entries starting at LBA 976773135
    Backup GPT header Partition entry size = 128

    Partition 0 Type c12a7328-f81f-11d2-ba4b-0a0c93ec93b
    Partition ID a09d486f-99b5-4994-b4b6-f97d37b49df
    FirstLBA 2048  Last LBA 534527
    Attributes 0
    Partition Name                 EFI system partition

    GPT Partition 0 is bootable
    Partition 1 Type e3c9e316-b5c-4db8-817d-f92df0215ae
    Partition ID c0e2d594-15c8-4907-b893-dc0081f672
    FirstLBA 534528  Last LBA 567295
    Attributes 0
    Partition Name         Microsoft reserved partition

    Partition 2 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
    Partition ID 466e3134-4198-4c3d-9461-172fd3c9bb3f
    FirstLBA 567296  Last LBA 946187044
    Attributes 0
    Partition Name                 Basic data partition

    Partition 3 Type de94bba4-6d1-4d40-a16a-bfd5179d6ac
    Partition ID 4e85bcea-2284-4f4a-8275-c8fd59515dd4
    FirstLBA 946188288  Last LBA 948117503
    Attributes 1
    Partition Name                                     

    Partition 4 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
    Partition ID 9f808ce3-1a8e-4beb-bf18-6a57d41c614c
    FirstLBA 949561344  Last LBA 976762879
    Attributes 1
    Partition Name                 Basic data partition

Disk Size: 500107862016 bytes
Sector size: 512 bytes

Done!
Infected: C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\MSBuild.exe --> [Trojan.Agent]
Infected: C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\MSBuild.exe --> [Trojan.Agent]
Scan finished
Creating System Restore point...
Cleaning up...
Removal scheduling successful. System shutdown needed.
System shutdown occurred
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-r.mbam...
Removal finished
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.10.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 10.0.9200 Windows 10 x64

System is currently in a safe mode

Account is Administrative

Internet Explorer version: 11.789.19041.0

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 1.600000 GHz
Memory total: 4145299456, free: 1560694784

Downloaded database version: v2022.01.25.07
Downloaded database version: v2022.01.25.06
Downloaded database version: v2018.01.20.01
=======================================
Driver version: 4.3.0.15
------------ Kernel report ------------
     01/25/2022 10:59:08
------------ Loaded modules -----------
\SystemRoot\system32\ntoskrnl.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kd.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\System32\drivers\CLFS.SYS
\SystemRoot\System32\drivers\tm.sys
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\BOOTVID.dll
\SystemRoot\System32\drivers\FLTMGR.SYS
\SystemRoot\System32\drivers\msrpc.sys
\SystemRoot\System32\drivers\ksecdd.sys
\SystemRoot\System32\drivers\clipsp.sys
\SystemRoot\System32\drivers\cmimcext.sys
\SystemRoot\System32\drivers\werkernel.sys
\SystemRoot\System32\drivers\ntosext.sys
\SystemRoot\system32\CI.dll
\SystemRoot\System32\drivers\cng.sys
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\WppRecorder.sys
\SystemRoot\system32\drivers\SleepStudyHelper.sys
\SystemRoot\System32\Drivers\acpiex.sys
\SystemRoot\system32\drivers\SgrmAgent.sys
\SystemRoot\System32\drivers\ACPI.sys
\SystemRoot\System32\drivers\WMILIB.SYS
\SystemRoot\System32\drivers\msisadrv.sys
\SystemRoot\System32\drivers\pci.sys
\SystemRoot\System32\drivers\tpm.sys
\SystemRoot\System32\drivers\intelpep.sys
\SystemRoot\system32\drivers\WindowsTrustedRT.sys
\SystemRoot\System32\drivers\IntelTA.sys
\SystemRoot\System32\drivers\WindowsTrustedRTProxy.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\drivers\isapnp.sys
\SystemRoot\System32\drivers\vdrvroot.sys
\SystemRoot\System32\Drivers\sptd2.sys
\SystemRoot\system32\drivers\pdc.sys
\SystemRoot\system32\drivers\CEA.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\System32\drivers\evbda.sys
\SystemRoot\System32\drivers\pcmcia.sys
\SystemRoot\System32\drivers\pciide.sys
\SystemRoot\System32\drivers\PCIIDEX.SYS
\SystemRoot\System32\drivers\spaceport.sys
\SystemRoot\System32\drivers\intelide.sys
\SystemRoot\System32\drivers\volmgr.sys
\SystemRoot\System32\drivers\sdbus.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\System32\drivers\vmbus.sys
\SystemRoot\System32\drivers\NDIS.SYS
\SystemRoot\System32\drivers\NETIO.SYS
\SystemRoot\System32\drivers\hvsocket.sys
\SystemRoot\System32\drivers\vmbkmcl.sys
\SystemRoot\System32\drivers\winhv.sys
\SystemRoot\System32\drivers\vpci.sys
\SystemRoot\System32\drivers\bxvbda.sys
\SystemRoot\System32\drivers\nvraid.sys
\SystemRoot\System32\drivers\CLASSPNP.SYS
\SystemRoot\system32\drivers\urscx01000.sys
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\System32\drivers\iaStorV.sys
\SystemRoot\System32\drivers\vsmraid.sys
\SystemRoot\System32\drivers\storport.sys
\SystemRoot\System32\drivers\3ware.sys
\SystemRoot\System32\drivers\amdsata.sys
\SystemRoot\System32\drivers\amdxata.sys
\SystemRoot\System32\drivers\amdsbs.sys
\SystemRoot\System32\drivers\arcsas.sys
\SystemRoot\System32\drivers\ItSas35i.sys
\SystemRoot\System32\drivers\lsi_sas.sys
\SystemRoot\System32\drivers\lsi_sas2i.sys
\SystemRoot\System32\drivers\lsi_sas3i.sys
\SystemRoot\System32\drivers\lsi_sss.sys
\SystemRoot\System32\drivers\megasas.sys
\SystemRoot\System32\drivers\MegaSas2i.sys
\SystemRoot\System32\drivers\megasas35i.sys
\SystemRoot\System32\drivers\megasr.sys
\SystemRoot\System32\drivers\mvumis.sys
\SystemRoot\System32\drivers\nvstor.sys
\SystemRoot\System32\drivers\percsas2i.sys
\SystemRoot\System32\drivers\percsas3i.sys
\SystemRoot\System32\drivers\SiSRaid2.sys
\SystemRoot\System32\drivers\sisraid4.sys
\SystemRoot\System32\drivers\vstxraid.sys
\SystemRoot\System32\drivers\stexstor.sys
\SystemRoot\System32\drivers\cht4sx64.sys
\SystemRoot\System32\drivers\iaStorAVC.sys
\SystemRoot\System32\drivers\atapi.sys
\SystemRoot\System32\drivers\ataport.SYS
\SystemRoot\System32\drivers\storahci.sys
\SystemRoot\System32\drivers\stornvme.sys
\SystemRoot\System32\drivers\ADP80XX.SYS
\SystemRoot\System32\drivers\HpSAMD.sys
\SystemRoot\System32\drivers\SmartSAMD.sys
\SystemRoot\System32\drivers\nvdimm.sys
\SystemRoot\System32\drivers\EhStorTcgDrv.sys
\SystemRoot\System32\drivers\EhStorClass.sys
\SystemRoot\System32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Wof.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\drivers\usbccgp.sys
\SystemRoot\System32\drivers\USBD.SYS
\SystemRoot\System32\DriverStore\FileRepository\urschipidea.inf_amd64_78ad1c14e33df968\urschipidea.sys
\SystemRoot\System32\drivers\usbehci.sys
\SystemRoot\System32\drivers\USBPORT.SYS
\SystemRoot\System32\drivers\storvsc.sys
\SystemRoot\System32\drivers\usbhub.sys
\SystemRoot\System32\drivers\UsbHub3.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\System32\drivers\wfplwfs.sys
\SystemRoot\System32\drivers\vmstorfl.sys
\SystemRoot\System32\drivers\bttflt.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\System32\drivers\volume.sys
\SystemRoot\System32\drivers\volsnap.sys
\SystemRoot\System32\drivers\USBSTOR.SYS
\SystemRoot\System32\drivers\uaspstor.sys
\SystemRoot\System32\drivers\storufs.sys
\SystemRoot\System32\drivers\sdstor.sys
\SystemRoot\System32\drivers\scmbus.sys
\SystemRoot\System32\drivers\sbp2port.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\system32\DRIVERS\ramdisk.sys
\SystemRoot\System32\drivers\pmem.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\system32\drivers\iorate.sys
\SystemRoot\System32\drivers\disk.sys
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DriverStore\FileRepository\basicdisplay.inf_amd64_65ab9a260dbf7467\BasicDisplay.sys
\SystemRoot\System32\DriverStore\FileRepository\basicrender.inf_amd64_df49c4daa6251397\BasicRender.sys
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\CimFS.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\afunix.sys
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\System32\drivers\vwififlt.sys
\SystemRoot\System32\drivers\pacer.sys
\SystemRoot\System32\drivers\ndiscap.sys
\SystemRoot\system32\drivers\netbios.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\ahcache.sys
\SystemRoot\System32\DriverStore\FileRepository\compositebus.inf_amd64_7500cffa210c6946\CompositeBus.sys
\SystemRoot\System32\drivers\kdnic.sys
\SystemRoot\System32\DriverStore\FileRepository\umbus.inf_amd64_b78a9c5b6fd62c27\umbus.sys
\SystemRoot\System32\drivers\CAD.sys
\SystemRoot\System32\drivers\cdrom.sys
\SystemRoot\System32\drivers\TXEIx64.sys
\SystemRoot\System32\drivers\HDAudBus.sys
\SystemRoot\System32\drivers\portcls.sys
\SystemRoot\System32\drivers\drmk.sys
\SystemRoot\System32\drivers\ks.sys
\SystemRoot\system32\DRIVERS\bcmwl63a.sys
\SystemRoot\System32\drivers\vwifibus.sys
\SystemRoot\System32\drivers\rt640x64.sys
\SystemRoot\System32\drivers\msgpiowin32.sys
\SystemRoot\System32\drivers\mshidkmdf.sys
\SystemRoot\System32\drivers\HIDCLASS.SYS
\SystemRoot\System32\drivers\HIDPARSE.SYS
\SystemRoot\System32\drivers\i8042prt.sys
\SystemRoot\system32\DRIVERS\ETD.sys
\SystemRoot\System32\drivers\kbdclass.sys
\SystemRoot\System32\drivers\mouclass.sys
\SystemRoot\System32\drivers\ETDSMBus.sys
\SystemRoot\System32\drivers\WirelessButtonDriver64.sys
\SystemRoot\System32\drivers\wmiacpi.sys
\SystemRoot\System32\DriverStore\FileRepository\uefi.inf_amd64_c1628ffa62c8e54c\UEFI.sys
\SystemRoot\System32\drivers\NdisVirtualBus.sys
\SystemRoot\System32\drivers\mssmbios.sys
\SystemRoot\System32\DriverStore\FileRepository\swenum.inf_amd64_16a14542b63c02af\swenum.sys
\SystemRoot\System32\drivers\rdpbus.sys
\SystemRoot\System32\drivers\IntcDAud.sys
\SystemRoot\system32\drivers\ksthunk.sys
\SystemRoot\System32\drivers\kbdhid.sys
\SystemRoot\System32\Drivers\fastfat.SYS
\SystemRoot\System32\Drivers\dump_diskdump.sys
\SystemRoot\System32\drivers\dump_storahci.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\win32kbase.sys
\SystemRoot\System32\win32kfull.sys
\SystemRoot\System32\drivers\dxgmms2.sys
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\DRIVERS\nwifi.sys
\SystemRoot\system32\drivers\ndisuio.sys
\SystemRoot\system32\drivers\msquic.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\System32\drivers\condrv.sys
\SystemRoot\System32\drivers\vwifimp.sys
\SystemRoot\System32\Drivers\mbamswissarmy.sys
\??\C:\WINDOWS\system32\drivers\MbamChameleon.sys
\??\C:\WINDOWS\system32\drivers\3134D760.sys
----------- End -----------
Done!

Scan started
Database versions:
  main:    v2022.01.25.07
  rootkit: v2022.01.25.06

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffb30341f8d0a0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
--------- Disk Stack ------
DevicePointer: 0xffffb30341f80060, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffffb30341f8d0a0, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
DevicePointer: 0xffffb30341e67050, DeviceName: \Device\0000002f\, DriverName: \Driver\storahci\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
This drive is a GPT Drive.
MBR Signature: 55AA
Disk Signature: 0

GPT Protective MBR Partition information:

    Partition 0 type is EFI-GPT (0xee)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1  Numsec = 4294967295

    Partition 1 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0

GPT Partition information:

    GPT Header Signature 4546492050415254
    GPT Header Revision 65536 Size 92 CRC 826856347
    GPT Header CurrentLba = 1 BackupLba 976773167
    GPT Header FirstUsableLba 34  LastUsableLba 976773134
    GPT Header Guid 669b7fd5-aba4-4ecc-9a95-c99d504f9310
    GPT Header Contains 128 partition entries starting at LBA 2
    GPT Header Partition entry size = 128

    Backup GPT header Signature 4546492050415254
    Backup GPT header Revision 65536 Size 92 CRC 826856347
    Backup GPT header CurrentLba = 976773167 BackupLba 1
    Backup GPT header FirstUsableLba 34  LastUsableLba 976773134
    Backup GPT header Guid 669b7fd5-aba4-4ecc-9a95-c99d504f9310
    Backup GPT header Contains 128 partition entries starting at LBA 976773135
    Backup GPT header Partition entry size = 128

    Partition 0 Type c12a7328-f81f-11d2-ba4b-0a0c93ec93b
    Partition ID a09d486f-99b5-4994-b4b6-f97d37b49df
    FirstLBA 2048  Last LBA 534527
    Attributes 0
    Partition Name                 EFI system partition

    GPT Partition 0 is bootable
    Partition 1 Type e3c9e316-b5c-4db8-817d-f92df0215ae
    Partition ID c0e2d594-15c8-4907-b893-dc0081f672
    FirstLBA 534528  Last LBA 567295
    Attributes 0
    Partition Name         Microsoft reserved partition

    Partition 2 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
    Partition ID 466e3134-4198-4c3d-9461-172fd3c9bb3f
    FirstLBA 567296  Last LBA 946187044
    Attributes 0
    Partition Name                 Basic data partition

    Partition 3 Type de94bba4-6d1-4d40-a16a-bfd5179d6ac
    Partition ID 4e85bcea-2284-4f4a-8275-c8fd59515dd4
    FirstLBA 946188288  Last LBA 948117503
    Attributes 1
    Partition Name                                     

    Partition 4 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
    Partition ID 9f808ce3-1a8e-4beb-bf18-6a57d41c614c
    FirstLBA 949561344  Last LBA 976762879
    Attributes 1
    Partition Name                 Basic data partition

Disk Size: 500107862016 bytes
Sector size: 512 bytes

Done!
Infected: C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\MSBuild.exe --> [Trojan.Agent]
Scan finished
Creating System Restore point...
Could not create restore point...
Cleaning up...
Removal scheduling successful. System shutdown needed.
System shutdown occurred
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-r.mbam...
Removal finished

Chicloi · 26 Enero, 2022 01:19

IMPORTANTE:

Realice todo este procedimiento en Modo Seguro con Funciones de Red:

En primer lugar, pásele el programa: Rkill como lo ha estado realizando correctamente y dejas que finalice todo el proceso de Análisis por completo y seguidamente siga estos pasos:

Descarga e Instala el siguiente programa: TDSSKiller y utiliza al pie de la letra su Manual de Uso para que sepa como usarlo y pueda configurarlo correctamente que le dejo a continuación:

Url de Descarga: TdssKiller:https://latam.kaspersky.com/downloads/tdsskiller

descarga el que pone: TDSSKiller Version 3.1.0.28

el que pone esto:

el que pone: “Exe, 4.82 MB”

Aquí le dejo su Manual de Uso para que sepa como usarlo y configurarlo correctamente:

Manual de Uso: TDSSKiller para que sepa como usarlo y configurarlo correctamente:https://forospyware.com/t/manual-de-tdsskiller/5059/2

Me mandas dicho Informe ó una Captura de Pantalla cuando finalicen dichos Procesos de Análisis.

Quedo a la espera de su respuesta!

Stubborn · 26 Enero, 2022 01:42

Listo. No encontró amenazas. Tampoco solicitó reinicio.

El informe es demasiado extenso asi que lo subo como archivo adjunto:

TDSSKiller.3.1.0.28_25.01.2022_22.31.14_log.txt (305,1 KB)

Chicloi · 26 Enero, 2022 01:42

IMPORTANTE:

Realice todo este procedimiento en Modo Seguro con Funciones de Red:

En primer lugar, pásele el programa: Rkill como lo ha estado realizando correctamente y dejas que finalice todo el proceso de Análisis por completo y seguidamente siga estos pasos:

0) Descarga, Instala, y ejecuta Dr.Web CureIt!. Aquí te dejo su manual: Dr.Web Cureit!, para que sepas como usarlo y configurarlo correctamente. (Elimine "TODO" lo que encuentre!)

Me mandas dicho Informe y una Captura de Pantalla cuando finalicen dichos Procesos de Análisis.

Quedo a la espera de su respuesta!

Stubborn · 26 Enero, 2022 03:00

El sueño me jugó una mala pasada. Olvide pasar Rkill antes de TDSS killer. Esta vez Rkill si encontró un proceso:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/25/2022 10:43:41 PM in x64 mode. (Safe Mode)
Windows Version: Windows 10 Home Single Language 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * C:\Users\PABLOI~2\AppData\Local\Temp\{81818E48-821C-46CF-B27D-30CDE5C9EAC4}\{45E2AFBE-84F4-4981-866E-81E2E3D2A060}.exe (PID: 3760) [T-HEUR]

1 proccess terminated!

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 01/25/2022 11:33:16 PM
Execution time: 0 hours(s), 49 minute(s), and 34 seconds(s)

Volví a pasar TDSS Killer y volvió a no encontrar nada. Aquí va el nuevo informe:

TDSSKiller.3.1.0.28_25.01.2022_23.34.04_log.txt (305,0 KB)

No hubo reinicio. Ahora estoy pasando Dr. Web cureit

Chicloi · 26 Enero, 2022 03:10

Perfecto! Cuando termine dicho proceso de Análisis por completo “Eliminas” “TODO” lo que encuentre y me mandas el Informe y una Captura de Pantalla

Si tardo en contestar es porque dispongo de poco tiempo, me mandas dicho Informe y la Captura de Pantalla cuando finalice todo el Proceso de Análisis por completo y lo reviso en cuanto pueda. No se preocupe, veremos su caso hasta el final para poder solucionarlo.

Quedo a la espera de su respuesta!

Stubborn · 26 Enero, 2022 06:24

Final

(Estas son solo muestras. Lo subido no es ni el 5% del informe completo. El archivo de texto pesa mas de 6 megas)

C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{01F81A46-0881-4ABC-8D93-FBF6DBA7274D}.tmp - Ok - 62ms, 1184 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{1775F2BD-1072-4527-BAC7-35B46EA532E5}.tmp - Ok - 613ms, 546632 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{03DFB4CA-1ABA-494A-A184-65508C89E2AC}.tmp - Ok - 726ms, 234264 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\996C03A0-10A6B320-C6657460-88EE6140\gThO9UNCh.dll.1123b2.11317d - container - 4648ms, 4523192 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{3EE113DF-194B-4FDC-840F-61753F481596}.tmp - Ok - 84ms, 2159 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{1DBC6FC2-F281-4767-828E-DB9F4EEB21D7}.tmp - Ok - 1088ms, 660224 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{3D0CFC9D-6D25-4DCB-8F8D-D0260716B750}.tmp - Ok - 797ms, 671728 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{72B38154-6305-4BE1-A076-EAA7A60536A0}.tmp - Ok - 713ms, 143344 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{5726B39C-8472-4CA5-8A1B-E8DD4EDDB036}.tmp - Ok - 950ms, 375504 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{B0C94DB5-C8BB-486E-B625-9046D2F56E35}.tmp - Ok - 40ms, 854 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{234E81D9-C2B7-4335-B9FD-8A60FDAF8EC5}.tmp - Ok - 1318ms, 894496 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{E4B10BE8-83CB-4FC6-949F-0BFC44D11594}.tmp - Ok - 313ms, 136568 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{854F51E3-10F5-4944-88CC-BD7D57C737D6}.tmp - Ok - 781ms, 288232 bytes
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\{09DA741A-9EC3-46B7-9C86-BB4B69C1DF35}\{891C9C36-DE5E-4326-AA69-2CE903E4E29A}.tmp - Ok - 762ms, 455648 bytes

Total 53400591626 bytes in 47177 files scanned (53887 objects)
Total 47215 files (53849 objects) are clean
There are no infected objects detected
Total 36 files are raised error condition
Scan time is 01:27:52.069

Chicloi · 26 Enero, 2022 11:02

IMPORTANTE:

Realice todo este procedimiento en Modo Seguro con Funciones de Red:

En primer lugar, pásele el programa: Rkill como lo ha estado realizando correctamente y dejas que finalice todo el proceso de Análisis por completo y seguidamente siga estos pasos:

1) Descarga, Instala, y ejecuta Eset Online Scaner. Aquí te dejo su Manual de Uso: Eset Online Scaner , para que sepas como usarlo y configurarlo correctamente. (Elimine "TODO" lo que encuentre! y "NO" restaure "NADA").

Me mandas dicho Informe y una Captura de Pantalla cuando finalicen dichos Procesos de Análisis.

Quedo a la espera de su respuesta!

Stubborn · 26 Enero, 2022 13:07

Comenzando un nuevo día.

Listo Rkill

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/26/2022 08:51:28 AM in x64 mode. (Safe Mode)
Windows Version: Windows 10 Home Single Language 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 01/26/2022 09:42:12 AM
Execution time: 0 hours(s), 50 minute(s), and 43 seconds(s)

Iniciando ESET encontré la cuarentena del scanner del 16 de Enero (Recuperé esa información). Los que no aparecen en la imagen son los mismos PUPs de uTorrent. Pero además se ven un par de troyanos y otras cosas. Me doy cuenta que éste programa y no MB es el que me desinstalo aplicaciones

… ESET ya esta iniciando. Va en actualización.

Saludos!

Chicloi · 26 Enero, 2022 13:17

Perfecto! Cuando haya finalizado el Proceso de Análisis por completo, siguiendo su Manual de Uso que te he dejado, (Eliminas “TODAS” las Infecciones y Amenazas que encuentre), y me mandas el Informe que haya generado y una Captura de Pantalla.

Quedo a la espera de su respuesta!

Stubborn · 27 Enero, 2022 00:20

Concluido el analisis de ESET, estos son los resultados:

26-01-2022 20:32:07
Archivos explorados: 661875
Archivos detectados: 6
Archivos desinfectados: 6
Tiempo total de exploración 10:17:11
Estado de la exploración: Finalizado
C:\Program Files (x86)\AIMP\!Backup\z Before install v5.00.2344 [2021.11.12 07-25-22].zip	una variante de Win32/AIMP.A aplicación potencialmente no deseada,una variante de Win32/AIMP.D aplicación potencialmente no deseada	contenía archivos infectados

C:\Program Files (x86)\AIMP\!Backup\z Before install v5.01.2356 [2021.12.24 14-22-20].zip	una variante de Win32/AIMP.A aplicación potencialmente no deseada,Win32/AIMP.C aplicación potencialmente no deseada	contenía archivos infectados

C:\Program Files (x86)\AIMP\!Backup\z Before install v5.01.2358 [2021.12.30 07-15-55].zip	una variante de Win32/AIMP.A aplicación potencialmente no deseada,una variante de Win32/AIMP.D aplicación potencialmente no deseada	contenía archivos infectados

C:\Users\Pablo Iñiguez Araven\AppData\Local\Mozilla\Firefox\Profiles\8l04a1p6.default-release-1593694266080\cache2\entries\228051246146A1ABED82024AAB2A589B047948D6	HTML/ScrInject.B troyano	eliminado

C:\Users\Pablo Iñiguez Araven\AppData\Local\Mozilla\Firefox\Profiles\8l04a1p6.default-release-1593694266080\cache2\entries\6C32295ED22E0633380729A9AE29BBC97F32B522	HTML/ScrInject.B troyano	eliminado

C:\Users\Pablo Iñiguez Araven\AppData\Roaming\AIMP\UpdateInstaller.exe	una variante de Win32/AIMP.A aplicación potencialmente no deseada	desinfectado por eliminación