Hola! Primero que nada, Saludos a toda la comunidad, a los moderadores y al ángel que espero me pueda ayudar.
Les platico mi caso: Hace algunos meses mis hijos instalaron algún juego o programa en mi Laptop de trabajo, de inmediato detecté que algo había mal en ella, después de pasar varios antivirus online se detectó que se descargó en el sistema un Trojano muy agresivo llamado Pitou, que a su vez instaló otras cosas peores, keyloggers y demás virus, incluso uno que comenzó a encriptar los archivos de mi PC a la vez de que me mandaban un mail a mi correo, pidiendo que pagara por los archivos secuestrados (Ransomware), afortunadamente tenía respaldo de mis archivos y tuve que restablecerlos, siguiendo estas guías logré eliminar la mayoría del malware, las dejo por acá por si a alguien le son de utilidad:
En estas guías aparece que el troyano se instala en el MBR (Master Boot Record) por lo que seguro la desinfección que hice no funcionó del todo o algo hice mal.
Después de la limpieza todo volvió a funcionar con normalidad, pero tuve que restablecer Windows sin borrar mis archivos porque en modo seguro parecía que todos los malwares ya habían sido eliminados.
También había un problema recurrente con la WIFI (se desconectaba continuamente la red y en los browsers me salía un mensaje como ERR: Network has changed o algo así o que la red no era segura, y me desconectaba el wifi hasta que lo conectara manualmente cada 5, 10, 15 min y otras veces nunca y todo normal) y asumí que la razón era otra, eventualmente se solucionó con algo que hice posiblemente relacionado con los comandos sfc / scanow y dism que por lo que entiendo escanean archivos corruptos, y se descargan de la nube los archivos del sistema a su forma original y como normalmente estoy conectado por Ethernet y este problema sólo ocurre cuando estoy conectado por la via inalámbrica, podría no darme cuenta de lo seguido que ocurría.
A lo largo de los meses posteriores, noté que el uso del disco se disparaba de 20% a 50% y luego hasta el 100% pero no le presté atención porque era un problema esporádico. Después el problema fue recurrente y el uso de disco se iba al 100% en toda ocasión pero el sistema seguía utilizable, hasta que ya era tan lento que no se podía ni escanear y lo adjudiqué a las instalaciones de Windows update y al Windows modules installer que consumían todos los recursos y no instalaban nada y se quedaban descargando e instalando en bucle. hice una reparación de Windows update con los mismos comandos y otros que encontré en foros, finalmente tuve que volver a cargar Windows con un Punto de Restauración anterior porque el sistema quedó inutilizado y funcionó los problemas se fueron, aclaro que con 3 antivirus; 2 online (ESET Online y Panda Online y el AVG instalado en PC no se detectó nada en modo a prueba de fallos.
Volví a instalar Chrome y de ahí craso error…
Me salen mensajes de que la conexión no es segura, avisos de redireccionamiento, desconexiones de la WIFI, etc.
Ahora estoy convencido de que el o los bichos han vuelto y lo he comprobado porque ambos problemas volvieron y que tiene algo que ver con que desinstalé AVG Secure Browser (una versión de AVG Antivirus de Chrome) y haber vuelto a instalar Chrome normal. Al Desinstalar ambos el uso de disco disminuyó a la normalidad, pero volvió el problema de la WIFI.
Por último les comento que pensé que eran problemas de Windows y no sospechaba que podría seguir infectado porque ningún antivirus de los que son online detectaron nada en modo a prueba de fallos, pero sospecho que alguna directriz en el registro se pudo quedar y al momento de reinstalar el Chrome se volvió a montar algún bicho, por cierto, Panda Online ya lleva como 7 horas escaneando y se quedó trabado en bucle en el 54% ya esto es un calvario pero no he querido formatear completo aunque a veces pienso que ya es la última solución, tengo millones de archivos, juegos, música etc. que tomarían días y hasta semanas de instalar y dejar a tono.
Hola buenas @Miguel_Castillo1foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.
Estas fuentes que has utilizado y sus respectivas herramientas no tienen muy buena reputación , no son fiables, y un largo etc de cosas malas podría decir.
Puede… es una posibilidad…
Cancela ese análisis.
Bien dicho todo lo anterior. Haremos esto:
Lo que debemos hacer es matar al bicho que está en tu máquina. Pero primero de todo y MUY IMPORTANTE desconecta todos tus otros dispositivos que tengas en la Red, absolutamente todos. Déjala solo con esta máquina conectada.
Y ni se te ocurra conectar ningún dispositivo externo como USBs, discos duros externos, NAS, SAN… pues es MUY PERO QUE MUY PROBABLE DE QUE TAMBIÉN PUEDA CIFRAR TODOS LOS DATOS QUE TENGAS ALLÍ.
EN BUSCA / ELIMINACIÓN DE MALWARE
Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.
Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.
Inicia de nuevo el equipo desde el Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).
Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.
P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.
Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.
Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.
¿Me entiendes?
Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?
Realizas lo siguiente:
Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual.
Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.
NOTA IMPORTANTE
Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:
No realices pasos/acciones que NOSOTROS no te hayamos indicado.
No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
No instales NADA (programas/software/complementos/extensiones del navegador…).
No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
No realices por tu cuenta otros procedimientos.
Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.
EN TU PRÓXIMA RESPUESTA
Respondes a las preguntas que te haya realizado.
Traes los reportes de Malwarebytes Anti-Rootkit y TDSKiller.
Comentas el estado en general del ordenador respecto al problema inicial planteado.
Seguí los pasos que me indicaste: Inicié Windows en Modo a Prueba de Fallos con Red; inicié Rkill descargándolo de la liga que me diste guardándolo en el escritorio (por cierto en la liga sale como Rkill.exe, pero no hay nada como Iexplore.exe, lo corrí una vez como Rkill.exe y se colgó así que la renombré y corrí renombrada manualmente por mi):
Es decir, no se cierra o me avisa si ya acabó pero creo que ya había terminado de analizar, no lo sé, se me generó un .TXT automáticamente en el escritorio:
20 out of 136 HOSTS entries shown.
Please review HOSTS file for further entries.
Program finished at: 12/02/2022 02:25:10 AM
Execution time: 0 hours(s), 0 minute(s), and 19 seconds(s)
Estoy tratando de ser lo más descriptivo posible.
A Continuación traté de descargar MBAR desde Forospyware con la liga que me mandaste, pero no pude, hacia click en el botón y nunca abría la descarga pausé el adblock para ver si ya podía pero nada, como no pude hacerlo desde forospyware (por cierto, navegando la página de forospyware me encontré con un post de que Forospyware fue hackeado ForoSpyware Hackeado :( | InfoSpyware realmente no sé si ese post es actual) fuí a la página oficial de Malwarebytes, pero no lo encontré, luego recordé que en una ocasión anterior lo había descargado así que volví a poner el instalador en el escritorio, lo corrí como admin y lo actualicé, luego escanee y aquí está el reporte:
mbar-log.txt: (son 3 porque al parecer tengo 3 particiones, ni sabía)
Partition 0 type is Other (0xde)
Partition is NOT ACTIVE.
Partition starts at LBA: 63 Numsec = 80262
Partition is not bootable
Partition 1 type is Other (0x27)
Partition is ACTIVE.
Partition starts at LBA: 81920 Numsec = 24604672
Partition is bootable
Partition file system is NTFS
Partition 2 type is Primary (0x7)
Partition is NOT ACTIVE.
Partition starts at LBA: 24686592 Numsec = 1928835072
Partition is not bootable
Partition file system is NTFS
Partition 3 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0
Partition is not bootable
Disk Size: 1000204886016 bytes
Sector size: 512 bytes
Done!
File “C:\Windows\SYSTEMAPPS\MICROSOFTWINDOWS.CLIENT.CBS_CW5N1H2TXYEWY\TEXTINPUTHOST.EXE” is sparse (flags = 32768)
Scan finished
Partition 0 type is Other (0xde)
Partition is NOT ACTIVE.
Partition starts at LBA: 63 Numsec = 80262
Partition is not bootable
Partition 1 type is Other (0x27)
Partition is ACTIVE.
Partition starts at LBA: 81920 Numsec = 24604672
Partition is bootable
Partition file system is NTFS
Partition 2 type is Primary (0x7)
Partition is NOT ACTIVE.
Partition starts at LBA: 24686592 Numsec = 1928835072
Partition is not bootable
Partition file system is NTFS
Partition 3 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0
Partition is not bootable
Disk Size: 1000204886016 bytes
Sector size: 512 bytes
Done!
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System\920e3d1d70447c3c10e69e6df0766568\System.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Serv759bfb78#\1f5d4944c864278deb61bdcdd201093f\System.ServiceProcess.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\3fc512c4cf717a111e39acefb2cc216c\System.Core.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\SMDiagnostics\b22e42d48a01f8b3e778397c6817b196\SMDiagnostics.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Servd1dec626#\5fb882c7683a7146ed552a1e37db421a\System.ServiceModel.Internals.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\a35aa313c9d47f4574f98c53c215e3ec\System.Configuration.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\2062ed810929ec0e33254c02b0c61bb4\System.Xml.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Transactions\e866c0216a4ad45c5b16d8bd70bd92c7\System.Transactions.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Runteb92aa12#\a3127677749631df61e96a8400ddcb87\System.Runtime.Serialization.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Numerics\d06877b5a0df441a8dc4c7b8d95b5d41\System.Numerics.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Data\e1503878d6648b1b94d533f95ebb9c6f\System.Data.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Net.Http\68de365664d9a58c56faf83d6ab25333\System.Net.Http.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Management\96012833bebd5f21714fc508603cda97\System.Management.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xaml\e1cd98a17ff5607f4be9d568f50baf62\System.Xaml.ni.dll” is sparse (flags = 32768)
File “C:\Windows\SYSTEMAPPS\MICROSOFTWINDOWS.CLIENT.CBS_CW5N1H2TXYEWY\TEXTINPUTHOST.EXE” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\WindowsBase\c2c5caeba5e37e85691cff471f71c4df\WindowsBase.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\PresentationCore\20b6becfb89316b50a93b2ffc1329b72\PresentationCore.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\Presentatio5ae0f00f#\92ebb87728c59675aa663be0b22dd0b1\PresentationFramework.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\Presentatioaec034ca#\0c40eb7afa7d2ecc6715cd91d6efd867\PresentationFramework.Aero2.ni.dll” is sparse (flags = 32768)
File “C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Drawing\fe4f7fb577b398b290c2d5d25fed0ad8\System.Drawing.ni.dll” is sparse (flags = 32768)
File “C:\Users\Administrador\AppData\Local\Microsoft\OneDrive\OneDrive.exe” is sparse (flags = 32768)
File “C:\Users\co\AppData\Local\Microsoft\OneDrive\OneDrive.exe” is sparse (flags = 32768)
File “C:\ProgramData\Microsoft\Network\Downloader\qmgr.db” is sparse (flags = 32768)
File “C:\Windows\System32\config\systemprofile\AppData\Local\DataSharing\Storage\DSTokenDB2.dat” is sparse (flags = 32768)
Scan finished
Partition 0 type is Other (0xde)
Partition is NOT ACTIVE.
Partition starts at LBA: 63 Numsec = 80262
Partition is not bootable
Partition 1 type is Other (0x27)
Partition is ACTIVE.
Partition starts at LBA: 81920 Numsec = 24604672
Partition is bootable
Partition file system is NTFS
Partition 2 type is Primary (0x7)
Partition is NOT ACTIVE.
Partition starts at LBA: 24686592 Numsec = 1928835072
Partition is not bootable
Partition file system is NTFS
Partition 3 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0
Partition is not bootable
Disk Size: 1000204886016 bytes
Sector size: 512 bytes
Done!
File “C:\Windows\SYSTEMAPPS\MICROSOFTWINDOWS.CLIENT.CBS_CW5N1H2TXYEWY\TEXTINPUTHOST.EXE” is sparse (flags = 32768)
File “C:\Windows\System32\notepad.exe” is sparse (flags = 32768)
File “C:\Users\Administrador\AppData\Local\Microsoft\OneDrive\OneDrive.exe” is sparse (flags = 32768)
File “C:\Users\co\AppData\Local\Microsoft\OneDrive\OneDrive.exe” is sparse (flags = 32768)
Scan finished
Paso 3: Descargué TDSSKiller como me pediste de la pagina de Forospyware esta vez si me dejó descargarlo, seguí los pasos del manual, marqué las casillas que me indicaste y reinicié (al reiniciar Malwarebites me dijo que la protección en tiempo real estaba desactivada, supongo que al estar en Modo a prueba de fallos no carga, la activé y tomé un screenshot, si es necesario te lo mando), al haber tenido que reiniciar corrí RKill.exe nuevamente con el Rkill renombrado como iexplore.exe y esta vez se quedó pasmado en:
Lo cerré y lo volví a intentar, me dí cuenta que esta vez, se copió a si mismo 3 veces Iexplore.exe normal, Iexplore64.exe y Iexplore649968.exe, ahora si pasó (aunque tardó un rato pero aceptable) pongo reporte:
En fin, finalmente hice todos los pasos pero yo no veo nada sospechoso salvo unas entradas en el archivo Hosts y que el Rkill reasigna las extensiones .exe, .com y .bat, pero tu eres el experto, de antemano mil gracias por tu seguimiento y atenciones =D.
P.D. Sigo en Modo a Prueba de Fallos así que no sé si se ha solucionado el tema de la lentitud, uso de CPU 100% y Disco Duro 100%, así como desconexiones fortuitas de la Wifi.
Hola Marr0n, Ojalá y ya te encuentres mejor, lo primero es la salud! todo puede esperar, pues lo primero siempre debe ser la gente, Ojalá y pronto te recuperes al 100%!
Con respecto al tema del foro, si, si aún me puedes ayudar, yo encantado, sólo que supongo que habría que iniciar el proceso nuevamente porque tuve que volver a entrar en mi Lap en modo normal, los programas de detección creo que no encontraron nada importante, pero tu dime, soy materia dispuesta para hacer lo sea necesario.
Disculpa en que haya tardado tanto en responder, pues como ya te dije hace un tiempo: he sufrido un accidente que me ha dejado indispuesto durante un tiempo.
Pensé que me recuperaría más rápido, pero no ha sido así.
Muchas gracias por tus palabras, ahora ay estoy mejor. Pero tengo poco tiempo para el foro. De todas formas. Seguiré con tu caso.
Sí, correcto como ha pasado un tiempo, tiene que volver a repetirse el proceso. Ahora te pongo exactamente que es lo que tiene que volverse a repetir para ver el estado actual y actuar en consecuencia.
Haz esto nuevamente:
EN BUSCA / ELIMINACIÓN DE MALWARE
Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.
Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.
Inicia de nuevo el equipo desde el Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).
Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.
P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.
Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.
Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.
¿Me entiendes?
Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?
Realizas lo siguiente:
Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual.
Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.
NOTA IMPORTANTE
Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:
No realices pasos/acciones que NOSOTROS no te hayamos indicado.
No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
No instales NADA (programas/software/complementos/extensiones del navegador…).
No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
No realices por tu cuenta otros procedimientos.
Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.
EN TU PRÓXIMA RESPUESTA
Respondes a las preguntas que te haya realizado.
Traes los reportes de rkill, Malwarebytes Anti-Rootkit y TDSKiller.
Comentas el estado en general del ordenador respecto al problema inicial planteado.
, no son fiables, y un largo etc de cosas 
EN BUSCA / ELIMINACIÓN DE MALWARE 