No se que le pasa a mi laptop

¡Bueno pues tenías un maleware en el mismo Sector de arranque!

Bien ahora vas a hacer los mismosw pasos que te indiqué en un mensaje anterior: No se que le pasa a mi laptop

Y me envías los informes.

Hola,

Aqui los reportes.

Malwarebytes


Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 25/11/18
Hora del análisis: 11:46
Archivo de registro: 3df5cd96-f0c9-11e8-aec6-ecf4bb10aef3.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.8015
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 17763.107)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-CAD065R\Windows 10

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 276320
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 0 min, 42 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

ESET No detecto ninguna amenaza

Adwcleaner

# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build:    09-25-2018
# Database: 2018-11-19.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-25-2018
# Duration: 00:00:04
# OS:       Windows 10 Pro
# Cleaned:  0
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

Not Deleted   AOL

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1367 octets] - [24/11/2018 14:05:32]
AdwCleaner[C00].txt - [1495 octets] - [24/11/2018 14:05:55]
AdwCleaner[S01].txt - [1373 octets] - [25/11/2018 20:25:17]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

ZHPcleaner

~ ZHPCleaner v2018.11.19.196 by Nicolas Coolman (2018/11/19)

~ Run by Windows 10 (Administrator) (25/11/2018 20:33:00)

~ Web: https://www.nicolascoolman.com

~ Blog: https://nicolascoolman.eu/

~ Facebook : https://www.facebook.com/nicolascoolman1

~ State version : Version OK

~ Certificate ZHPCleaner: Illegal

~ Type : Scanner

~ Report : C:\Users\Windows 10\Desktop\ZHPCleaner.txt

~ Quarantine : C:\Users\Windows 10\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt

~ UAC : Activate

~ Boot Mode : Normal (Normal boot)

Windows 10 Pro, 64-bit (Build 17763)

**---\ Alternate Data Stream (ADS).** **(0)**

~ No malintencionados o innecesarios artículos encontrados. (ADS)

**---\ Servicios (0)**

~ No malintencionados o innecesarios artículos encontrados. (Servicio)

**---\ Navegadores de Internet (0)**

~ No malintencionados o innecesarios artículos encontrados. (Navegador)

**---\ Hosts carpeta (1)**

~ El archivo hosts es legítimo (22)

**---\ Tareas automáticas programadas. (0)**

~ No malintencionados o innecesarios artículos encontrados. (Tarea)

**---\ Explorador ( Archivos, Carpetas ) (6)**

ENCONTRADOS carpeta: C:\Users\Windows 10\Downloads\KMSpico Install.rar.pumax =>HackTool.KMSpico

ENCONTRADOS archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico =>HackTool.KMSpico

ENCONTRADOS archivo: C:\Users\Windows 10\Downloads\KMSpico Install\KMSpico Install =>HackTool.KMSpico

ENCONTRADOS archivo: C:\Users\Windows 10\Downloads\KMSpico Install =>HackTool.KMSpico

ENCONTRADOS carpeta: C:\Users\Windows 10\AppData\Local\MSfree Inc\kmsauto.ini =>HackTool.WinActivator

ENCONTRADOS archivo: C:\Users\Windows 10\AppData\Local\MSfree Inc =>HackTool.WinActivator

**---\ Registro ( Claves, Valores, Datos) (0)**

~ No malintencionados o innecesarios artículos encontrados. (Register)

**---\ Resumen de elementos en su estación de trabajo (2)**

https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/ =>HackTool.KMSpico

https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/ =>HackTool.WinActivator

**---\ Resultado de la reparación.**

~ ninguna reparación hecha

~ falta este navegador! (Mozilla Firefox)

~ falta este navegador! (Opera Software)

**---\ STATISTIQUES**

~ Items escaneado : 89619

~ Items encontrado : 6

~ artículos cancelados : 0

~ Items opciones : 0/7

~ Ahorro de espacio (bytes) : 0

~ End of search in 00h05mn19s

**---\ Reporte (3)**

ZHPCleaner-[R]-24112018-14_50_44.txt

ZHPCleaner-[S]-24112018-14_49_06.txt

ZHPCleaner-[S]-25112018-20_38_19.txt

CCleaner Todo Ok

En espera de sus noticias.

Saludos,

Cont.

El IFS da error en 95% C;\windows.old Error: Subscript used with non-Array variable No genera reporte.

Saludos,

El informe de ZHRCleaner ha detectado dos malewares pero no lo has eliminado.

:one: Uso de Kaspersky Virus Removal Tool

Kaspersky Virus Removal Tool es una herramienta gratuita y portable. Escanea, detecta y elimina malwares del PC. No es una solución para una protección continua, ya que no funciona en forma residente, sino a demanda del usuario.

Para descargar este herramienta y ver su Manual de uso, visitar esta web >> https://www.infospyware.com/antivirus-gratis/kss/

Me envias el informe de su análisis.

:two: 2.8 Uso de HitmanPRO

Descarga HitmanPRO >> http://www.infospyware.com/antimalware/hitmanpro/

Consulta el Manual de HitmanPRO para poder usarlo.

Me mandas los informes.

Hola,

Aqui los informes

Kaspersky

26.11.2018 13.18.27	Análisis completo	Tarea completada	Hora de finalización: Hoy, 26/11/2018 01:18 p. m.
26.11.2018 13.18.27	Se eliminó un objeto detectado (archivo)	C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Archivo: C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Nombre del objeto: HEUR:Rootkit.Boot.Agent.gen
26.11.2018 13.18.27	Objeto (archivo) no procesado	C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Archivo: C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Nombre del objeto: HEUR:Rootkit.Boot.Agent.gen	Motivo: No se puede desinfectar
26.11.2018 13.18.27	Se movió a Cuarentena un objeto detectado (archivo)	C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Archivo: C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Nombre del objeto: HEUR:Rootkit.Boot.Agent.gen
26.11.2018 12.44.16	Objeto (archivo) no procesado	C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Archivo: C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Nombre del objeto: HEUR:Rootkit.Boot.Agent.gen	Motivo: Pospuesto
26.11.2018 12.44.14	Objeto (archivo) detectado	C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Archivo: C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam	Nombre del objeto: HEUR:Rootkit.Boot.Agent.gen
26.11.2018 12.34.43	Análisis completo	Tarea iniciada	Hora: Hoy, 26/11/2018 12:34 p. m.

HitmanPRO

HitmanPro 3.8.0.295
www.hitmanpro.com

   Computer name . . . . : DESKTOP-CAD065R
   Windows . . . . . . . : 10.0.0.17763.X64/4
   User name . . . . . . : DESKTOP-CAD065R\Windows 10
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Trial (31 days left)

   Scan date . . . . . . : 2018-11-26 13:53:48
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 3m 9s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 0

   Objects scanned . . . : 1,790,364
   Files scanned . . . . : 75,499
   Remnants scanned  . . : 558,927 files / 1,155,938 keys

En espera de novedades.

Saludos,

Ya no hay rastro de maleware alguno.

Necesito que me digas si tienes alguna copia de seguridad reciente, porque cuando uno tiene una infección de un ransomware es muy probable que no puedas recuperar tus archivos personales.

Ahora debes seguir las instrucciones dadas en ID-Ransomware: ¿Cómo identificar el ransomware que lo ha infectado?.

Espero que tengas suerte y haya un desencriptador para volve tus archivos personales a su estado original.

Hola,

Como puedo verificar si tengo alguna copia de seguridad?

Pues la opción más lógica es que usted haya decidido realizar copias de seguridad periódicas de su información personas. Esto es algo que siempre es recomendado a toda persona, pero que muy pocas lo hacen y cuando pasa una catástrofe, como puede ser la infección de un ransomware, uno se lamenta de no haber hecho copias de seguridad.

Otra opción es que en las Configuraciones de Restauración se haya seleccionado “Restaurar la Configuración del Sistema y las versiones anteriores de ficheros”. Para comprobarlo haz lo siguiente:

  1. Haz clic con botón derecho el ratón sobre la opción Equipo :arrow_forward: Propiedades :arrow_forward: Protección del Sistema (la opción está a la izquierda) :arrow_forward: Botón Configurar…

Comprueba si está activa la opción “Restaurar la Configuración del Sistema y las versiones anteriores de ficheros”

imagen

imagen

  1. Clic en pro

Hola,

No lo tengo hecho, esta computadora es relativamente nueva en mis manos y no me había percatado de eso. :blush: , imagino que los archivos que se infectaron están perdidos, una experiencia a tener en cuenta…

Algo mas que deba hacer?

Saludos,

¿Hiciste lo que te aconsejé con la web ID-RANSOMWARE? Enviame la respuesta que te da esa web.Existe la posibilidad de que haya algún desencriptador para el virus que te infectó el equipo.

Aún cuando no lo haya, usted podría hacer copia de seguridad de todos sus documentos personales (puede usar un pendrive u otro disco duro para ello). En un futuro podría haber un desencriptador. Ha pasado en numerosas ocasiones.

Hola,

Esto es lo que me sale en la web ID_RANSOMWARE

1 Result

STOP

Este ransomware puede ser desencriptable en determinadas circunstancias.

Por favor, consulte la guía apropiada para obtener más información.

Identificado por

  • ransomnote_email : [email protected]
  • ransomnote_bitmessage : BM-2cXonzj9ovn5qdX2MrwMK4j3qCquXBKo4h

Haga clic aquí para obtener más información acerca de STOP

Saludos,

Parece que tu ransomware es una variante del Ransomware .STOP ya que las extensiones de tus archivos es diferente a .STOP. El 22 de Noviembre se dectectó una versión con extensión .puma. Y dos dias despúes detectaron tu ransomware con extensión .pumax.

En un foro de Microsoft aparece un mensaje de hace unos dias donde dice que Dr.Web puede internar desencriptar los ficheros de forma gratuita si tienes licencia de algunos de los productos de Dr. Web. En caso contrario te cobrarían 150 Euros. Esto de lucrarse de esta forma no se si es normal, pero bueno.

y en otro hilo del foro de la empresa de seguridad EMISoft (de hace sólo unos dias) dicen que aún no hay un desencriptador para tu ransomware:

Leelo porque alli te remiten a contactar directa o indirectamente con la empres Dr.Web, en caso de que la información personal de tu Pc sea lo suficiente importante como para pagar el precio que te piden. Lo ideal sería conocer a alguien que tenga licencia con alguno de los productos de Dr.Web, ya que la desencriptación te resultaría gratis.

Hola, Revise los archivos con esa extensión y eran unos videos del celular que no tienen importancia.

Ahora lo que sale es que una ventanilla que sube diciendo “Algo ocurrió y no pudimos instalar una característica. Pulsa para tener información.”

Al darle click e ir al historial lo que da error es “Reconocimiento de voz en ingles (EE.UU)”

tiene importancia?

Saludos,

No creo que tenga importancia este mensaje. Vamos a eliminar algunas de las herramientas que hemos usado:

:one: Desinstalar herramientas usadas

Para eliminar algunas de las herramientas usadas, sigue estos pasos:

  • Para hacerlo descarga >>DelFix en tu escritorio . Consulta su manual en caso necesario.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador” )

  • Marca la casilla “ Removed desinfection tools ".

  • Pulsar en Run .

Al terminar Se abrirá un reporte llamado DelFix.txt , verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.

Otras de las herramientas usadas, tendrás que desinstalarlas manualmente. Te aconsejo que uses la aplicación RevoUninstaller ya que elimina toda basura que suelen dejar las aplicaciones:


Para llevarlo a cabo, te recomiendo usar Revo Uninstaller. En este enlace tienes el Manual de RevoUninstaller donde tendrás adicionalmente un ejemplo de cómo desinstalar adecuadamente un programa.

Ejecuta RevoUninstaller según el manual anteriormente dado y escoge, cuando el programa lo habilite, el Modo Avanzado .


Eliminación de basura

Realiza los siguientes pasos en Modo Seguro , con funciones de Red.

:two: CCleaner

Descarga, instala y/o actualiza Ccleaner

  • Abres Ccleaner en la pestaña limpiador dejas como está configurada predeterminadamente :arrow_forward: haces clic en analizar y esperas que termine :arrow_forward: clic en ejecutar limpiador

  • clic en la pestaña Registro :arrow_forward: clic en buscar problemas y esperas que termine :arrow_forward: clic en Reparar Seleccionadas y haces una copia de seguridad

:three: Argente-Registry Cleaner

**Descarga, instala y/o actualiza ** Argente-Registry Cleaner. Si no te funciona este enlace, prueba con este otro: https://argenteutilities.com/es/download/aregistry-old.

Mira el Manual de Argente-Registry Cleaner

  • Ejecutálo :arrow_forward: presionas Iniciar Análisis

  • Cuando termine el análisis presionas Reparar errores seleccionados.

:four: Glary Utilities

Descarga, instala y/o actualiza] Glary Utility.

Mira Su Manual

  • Instalas y actualizas (Pestaña Estado)

  • Pestaña Mantenimiento 1-Clic :arrow:forward: presionas Ver Resultados

  • Cuando termine el escaneo presionas Reparar Problemas

  • Presiona para utilizar Limpiador de Disco

Ejecutas estas tres herramientas varias veces, una por una y en el mismo orden, hasta que veas que no te encuentran prácticamente ningún error.

Hola,

Gracias por la ayuda, hecho todo lo indicado y los resultados de los análisis salen limpios.

Me he dado cuenta de que me encripto todas las fotos y muchos documentos, seria conveniente dejarlos a ver si aparece la manera de como desencriptarlos?

Saludos,

La ventana que te salia antes, ¿ha dejado de salir?

Efectivamente se aconseja guardar la información personal en otro dispositivo de almacenamiento masivo. De vez en cuando se desencriptan algunos ransomware o bien la policía consigue los servidores con las claves.

Buenas; permiso, estaba siguiendo este tema para poder limpiar el STOP de la compu de una amiga.

El caso es que justo ayer salió el desencriptador del STOP que funciona con las extensiones .puma, .pumax y algunas más; el creador de ID Ransomware lo tiene subido en su Twitter. Se necesita un archivo original y el encriptado para poder sacar la clave y en teoría funciona.

Buena suerte con ello.

Muchas gracias @Rhenawedd !! Vaya suerte ha tenido el compañero. @Kiwijuicy vuelve a entrar en la web ID Ransomware (ver mensaje 14) y confirma si ya te aparece el desencriptador.

Hola,

La ventana sigue subiendo.

Saludos,

Hola,

Gracias por la información, he tratado de hacerlo pero no he podido, me da error.

@frica aun no aparece en ID Ransomware

Saludos,