Siguiendo con el tema No me funciona Rkill (parte 1) - nº 229 por chicloi.
Partes anteriores:
2 Me gusta
Perfecto! Ahora realice los siguientes procedimientos:
En la barra de búsqueda escribe cmd y en la primera opción que aparezca da clic derecho y elige Ejecutar como administrador. Se abrirá una ventana negra. Copia y pega los siguientes comandos línea por línea:
dism /online /cleanup-image /restorehealth
dism /online /cleanup-image /startcomponentcleanup
sfc /scannow
Si alguno te pide reiniciar procedes. Revisa si el ultimo comando te informa si encontro alguna infracción y si la pudo reparar. Si encontró y copia y pega este otro comando:
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"
Esto generará un reporte en tu escritorio llamado sfcdetails. Por favor trae su contenido o adjúntalo en un mensaje.
Nos comentarías como te fue, como sigue el sistema y si el último comando encontró algo nos traerías el reporte.
Quedo a la espera de su respuesta!
Creo que no estoy entendiendo bien. Copio la primera linea y luego no me acepta la segunda, y me sale esto:
1 me gusta
copie una línea y le da al Intro y así con el resto siguiendo las indicaciones que te he indicado.
Quedo a la espera de su respuesta!
Se lo pondré más fácil:
Paso 1: Realice en primer lugar este procedimiento. Copie línea por línea hasta el final y que quede así y le da al intro y dejas que acabe dicho proceso por completo:
Paso 2: Copie línea por línea hasta el final y que quede así y le da al intro y dejas que acabe dicho proceso por completo:
Paso 3: Copie línea por línea hasta el final y que quede así y le da al intro y dejas que acabe dicho proceso por completo:
Si alguno te pide reiniciar procedes. Revisa si el ultimo comando te informa si encontro alguna infracción y si la pudo reparar. Si encontró y copia y pega este otro comando:
Esto generará un reporte en tu escritorio llamado sfcdetails. Por favor trae su contenido o adjúntalo en un mensaje.
Nos comentarías como te fue, como sigue el sistema y si el último comando encontró algo nos traerías el reporte. Si tiene alguna duda sobre los pasos que le he puesto a seguir puede comentarme y yo intento explicarlo de otra manera.
Nos comentarías como te fue, como sigue el sistema y si el último comando encontró algo nos traerías el reporte.
Quedo a la espera de su respuesta!
1 me gusta
Me estas dando un curso intensivo J. Luis y te lo agradezco. Acá hay un primer resultado. Voy a quedar hasta aquí por hoy porque mañana tengo que hacer temprano, así que seguiré mañana.
1 me gusta
Perfecto! El primer resultado se ha completado correctamente. Realiza todos los pasos a seguir que te he indicado en dicho procedimiento y mañana los reviso.
Quedo a la espera de su respuesta!
1 me gusta
Hola! Paso a contar lo ocurrido desde que ayer lunes encendí la laptop: Lo mas importante es que POR PRIMERA VEZ no pasó nada anómalo al inicio, ni el block de notas negro por un segundo, ni el aviso de un programa que no se pudo cargar. Inició normalmente y WDefender NO detectó ninguna infección. O sea que este bicho ya no se reinició:
A continuación fui a la famosa carpeta temp, y no estaba el virus que detectaba WD (newpornred) pero si estaba MSBuild.
Hice un análisis del archivo individual con Malwarebytes antimalware pero tampoco detectó ninguna infección.
A continuación inicié un análisis con MB Antirootkit beta y como 12 horas después finalizó con la eliminación del Trojan Agent MSBuild.exe:
Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org
Database version:
main: v2022.01.31.06
rootkit: v2022.01.31.06
Windows 10 x64 NTFS
Internet Explorer 11.789.19041.0
Pablo Iñiguez Araven :: LAPTOP-AF7LB9S1 [administrator]
31-01-2022 10:12:59
mbar-log-2022-01-31 (10-12-59).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 219488
Time elapsed: 11 hour(s), 19 minute(s), 58 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 1
C:\Users\Pablo Iñiguez Araven\AppData\Local\Temp\MSBuild.exe (Trojan.Agent) -> Delete on reboot. [4c6618b51bd9a5917de58a2c28d837c9]
Physical Sectors Detected: 0
(No malicious items detected)
(end)Finalizado el análisis del antirootkit y eliminada la infección, al reiniciarse el computador, POR SEGUNDA VEZ NO apareció ninguna señal anómala al inicio: ni flash negro por un segundo ni aviso de no poder iniciar un programa y nuevamente WD no detectó la infección grave ya habitual.
Fui a la carpeta temp, y por primera vez NO APARECIÓ ningún archivo con el nombre MSBuild.exe !
De todos modos volví a iniciar un análisis con el Antirootkit beta, y este es el resultado obtenido ya hoy martes:
Como estos análisis con el MB antirootkit se hicieron en el modo Normal, supongo que al reiniciar se mantendrá el efecto de limpieza. De todos modos estaré observando cualquier comportamiento extraño de la laptop.
Mil gracias J. Luis y al foro spyware por la ayuda y la paciencia!
Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org
Database version:
main: v2022.02.01.01
rootkit: v2022.02.01.01
Windows 10 x64 NTFS
Internet Explorer 11.789.19041.0
Pablo Iñiguez Araven :: LAPTOP-AF7LB9S1 [administrator]
31-01-2022 23:49:26
mbar-log-2022-01-31 (23-49-26).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 218947
Time elapsed: 9 hour(s), 12 minute(s), 23 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 0
(No malicious items detected)
Physical Sectors Detected: 0
(No malicious items detected)
(end)
1 me gusta
Correcto! Al haberse reiniciado en modo normal el ordenador, ha eliminado la infección: MSbuild de raíz y ya estaría eliminado por completo! También fue al eliminar ciertos archivos que también se iniciaban con la infección: MSBuild con lo cual a la infección la hemos desprotegido, la hemos debilitado, para que lo entiendas, le hemos quitado la protección que impedía que se pudiera eliminar el archivo infectado: MSBuild y con ello, con todo el procedimiento que hemos realizado se ha podido eliminar dicha infección correctamente!
Observa cómo va el funcionamiento del ordenador en unos días y me comentas si se solucionó el problema por el cual abriste este tema.
Quedo a la espera de su respuesta!
1 me gusta
Buenas, que tal @Stubborn ¿Cómo va el funcionamiento del ordenador? ¿Se solucionó el problema por el cual abriste este tema?
Quedo a la espera de su respuesta!
1 me gusta
Hola J. Luis, disculpen la tardanza en contestar.
Respecto al computador, sigue libre de virus. He estado dedicado principalmente a cambiar contraseñas por el riesgo de que hayan alcanzado a obtenerlas en el periodo de contagio.
Respecto de sus ultimas instrucciones, no he podido por lo mismo dedicarme a eso todavía. Espero verlo en los próximos días. Pero el problema inicial está amplia y totalmente resuelto afortunadamente.
Reitero mis agradecimientos, sin su ayuda dudo que pudiera haberlo resuelto.
1 me gusta
Me alegro mucho el haberle podido solucionar el problema, para mí es una grata satisfacción el que usted haya quedado contento con la reparación. 
Ahora ya si que podemos dar el tema por solucionado.
Para dar por solucionado el tema no me sale el signo. Tal vez sea porque yo no abrí esta segunda parte. 
1 me gusta
Tiene que haber una opción que ponga “Solución” ó “Solucionado”!
Sigue estos pasos para dar por solucionado el tema:
¿Cómo dar un tema por “Solucionado”?
En el tema que hayas abierto con tu problema, en el caso que se resuelva con las indicaciones dadas por el ayudante, después de responder con los reportes, si te los piden, haz clic en este símbolo 
.
Después de darlo por solucionado, en la respuesta de quien le ayuda se verá así:
Durante los 2 siguientes días a darlo por solucionado, el tema quedará abierto por si volviera el problema y tuviera que comentarlo.
Comenta si te funcionó!
Quedo a la espera de su respuesta!
No se preocupe, ya lo he reportado al equipo de Staff para que puedan cerrarlo ellos y puedan darlo por solucionado su reparación!
¿Que tal le ha resultado el proceso de desinfección? Lo mismo ha sido un proceso de desinfección un poco largo pero considero que ha merecido la pena todo el esfuerzo y dedicación ya que se ha podido solucionar la infección de raíz y se ha solucionado su tema!
También es de agradecer la paciencia y constancia que ha seguido a lo largo de todos los procesos que se han ido pasando en ralación a la desinfección de su ordenador y eso es de agradecer y de valorar!
Estoy feliz porque mi computador esta bueno de nuevo. Ademas he aprendido mucho sobre como desinfectarlo y como se esconden para poder replicarse. También he aprendido a tener paciencia! 
1 me gusta
Para mí mi mayor satisfacción es que se haya podido solucionar su problema de desinfección! Además te soy sincero este caso tuyo me lo he tomado ya como algo personal y como un reto ya que cuanto más difícil sea eliminar una infección me lo tomo como algo personal! También he tenido otros casos mucho más complicados que este pero le aseguro que su caso me lo he tomado como algo ya personal!
Me ha encantado el poder solucionar su problema, se lo digo de verdad, he disfrutado mucho con la desinfección de su ordenador ya que ha sido todo un reto para mí!
También le comento que hay casos mucho más complicados que desafortunadamente no se han podido solucionar y me los he tomado como un reto como son los casos de Ramsonware que estas infecciones si que te codifican y te encriptan el ordenador entero y muchas veces elimino por completo la infección pero es imposible recuperar todos los archivos del ordenador! Estas infecciones Ramsonware están considerados como un riesgo muy alto de peligrosidad y estas estas infecciones vienen incorporadas en los parches, keygen, patch… que al instalarlos vienen incluidos fantasticos regalos como es la infección por Ramsonware que en la mayoría de las veces es imposible de solucionar!