Powershell quiere acceder a mis archivos

hola · 11 Marzo, 2024 02:16

hola mucho gusto mi pc estado loco desde que active la proteccion contra ramsomware en windows defender ya que a cada rato me avisa que powershell quiere acceder a mis archivos de usuario y a la carpeta catroot no se si se daba a n scrip ya que tengo un crack de adobe photoshop cs5 y e escaneado con windows defender y malwarebites y me dice que esta limpio e investigado y se supone que no es normal

hola · 13 Marzo, 2024 02:17

hola queria actualizar la informacion e sabido que @Marr0n @DanielG @Chicloi son buenos en estos temas asi que no se si tengan algun tiempo en el cual me puedan ayudar por favor bueno siguiendo con el tema e pasado el antivirus de fabrica (windows defender) no se si se deba a que un familiar instalo fotoshop como habia comentado y halla causado este problema cuanquier reporte que me pidan con gusto se los paso aclaro que tengo win 10 version 22h2

DanielG · 13 Marzo, 2024 02:36

Hola @hola

Realiza los siguientes pasos:

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner . Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes , para que sepas como usarlo y configurarlo correctamente.

Realizas un Análisis Personalizado, marcando Todas las casillas (menos la que dice analizar rootkits) de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y marcas todas las unidades de disco disponibles y las siguientes casillas:

Analizar objetos en memoria
Analizar configuracion de inicio y registro
Analizar dentro de los archivos

Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
Si no encuentra nada, pulsa en Omitir Reparación.
El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
Para más información aquí te dejo su manual: Manual de Adwcleaner .
Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

No realices pasos/acciones que NOSOTROS no te hayamos indicado.

No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.

No instales NADA (programas/software/complementos/extensiones del navegador…).

No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).

No realices por tu cuenta otros procedimientos.

Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

hola · 13 Marzo, 2024 03:27

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 12/3/2024
Hora del análisis: 21:01
Archivo de registro: 0af5fdb8-e0e6-11ee-bfee-c4346b440b71.json

-Información del software-
Versión: 5.1.0.102
Versión de los componentes: 1.0.1179
Versión del paquete de actualización: 1.0.82094
Licencia: Versión de prueba

-Información del sistema-
SO: Windows 10 (Build 19045.4170)
CPU: x64
Sistema de archivos: NTFS
Usuario: hp-14-Notebook\victo

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 720866
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 24 min, 2 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

hola · 13 Marzo, 2024 03:40

# -------------------------------
# Malwarebytes AdwCleaner 8.4.2.0
# -------------------------------
# Build:    03-04-2024
# Database: 2024-03-04.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    03-12-2024
# Duration: 00:00:03
# OS:       Windows 10 (Build 19045.4170)
# Cleaned:  16
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.EpsonCustomerResearchParticipation   Folder   C:\Program Files\EPSON\EPSONCUSTOMERRESEARCHPARTICIPATION
Deleted       Preinstalled.EpsonCustomerResearchParticipation   Folder   C:\ProgramData\EPSON\EPSONCUSTOMERRESEARCHPARTICIPATION
Deleted       Preinstalled.EpsonCustomerResearchParticipation   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B26449A6-6007-4460-B4FE-C4776115BCEA}
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Users\victo\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.SamsungSmartSwitch   Folder   C:\Program Files (x86)\SAMSUNG\SMART SWITCH PC
Deleted       Preinstalled.SamsungSmartSwitch   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SAMSUNG\SMART SWITCH PC
Deleted       Preinstalled.SamsungSmartSwitch   Folder   C:\Users\victo\AppData\Roaming\SAMSUNG\SMART SWITCH PC
Deleted       Preinstalled.SamsungSmartSwitch   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\InstallShield_{74FA5314-85C8-4E2A-907D-D9ECCCB770A7}
Deleted       Preinstalled.SamsungSmartSwitch   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{74FA5314-85C8-4E2A-907D-D9ECCCB770A7}


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [3459 octets] - [12/03/2024 21:31:28]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

hola · 13 Marzo, 2024 03:47

listo pero me sigue apareciendo que powershell quiere acceder a mis archivos ah y perdon si en donde vives es muy tarde

DanielG · 13 Marzo, 2024 04:13

Hola nuevamente

Realiza lo siguiente

Descarga ZHPCleaner y lo ejecutas siguiendo su manual

Una ves que termine elimina todo lo que encuentre.
Se abrira un reporte pegamelo en tu proxima respuesta

Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

Muy Importante Coloca los reporte que te he pedido como se muestra en la siguiente imagen:

Saludos

hola · 13 Marzo, 2024 19:47

~ ZHPCleaner v2024.3.9.10 by Nicolas Coolman (2024/03/09)
~ Run by victo (Administrator)  (13/03/2024 06:37:11)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\victo\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\victo\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : 
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home Single Language, 64-bit  (Build 19045)

hola · 13 Marzo, 2024 23:16

13:48:40 # product=EOS
# version=8
# ESETOnlineScanner.exe=3.7.3.0
# EOSSerial=
# end=init
# country="Mexico"
# lang=2058
13:50:32 Updating
13:50:32 Update Init
13:50:32 Update Download
13:52:02 Update timeout and progress <3, Retry update
13:52:02 Update Init
13:52:02 Update Download
13:54:01 # product=EOS
# version=8
# ESETOnlineScanner.exe=3.7.3.0
# EOSSerial=f77d6a9d68a0f844a7337c8985105de0
# end=init
# country="Mexico"
# lang=13322
13:54:32 Updating
13:54:32 Update Init
13:54:33 Update Download
13:54:43 Update Finalize
13:54:43 Updated modules version: 60822
17:06:15 # product=EOS
# version=8
# ESETOnlineScanner.exe=3.7.3.0
# EOSSerial=f77d6a9d68a0f844a7337c8985105de0
# end=init
# country="Mexico"
# lang=13322

hola · 13 Marzo, 2024 23:18

no se si se cargo bien pero me muestra que drfone de wondershare es un virus y lo puso en cuarentena

DanielG · 13 Marzo, 2024 23:50

Hola @hola

Los reportes estan incompletos fijate si los podes subir nuevamente.

Saludos

hola · 13 Marzo, 2024 23:51

ambos o solo 1 por favor es que no comprendi tu pregunta

hola · 13 Marzo, 2024 23:59

se me hace imposible consegir los reportes por que alguna aplicacion la a borrado pero pude recuperar esto

hola · 14 Marzo, 2024 00:04

pero puedo confirmar zhp encontro 2 en registro 4 en buscador 2 en anuncios y 4 en explorador

DanielG · 14 Marzo, 2024 00:46

Hola @hola

En el escritorio no hay un archivo llamado ZHPCleaner (R) ? Si es así, arrástralo al cuadro de la respuesta y se subirá solo.

El reporte de eset deberia estar en → Este Equipo\Disco C\Usuarios\ Tu Nombre de Usuario\AppData\Local\Temp\ Log.txt

Saludos

hola · 14 Marzo, 2024 00:56

eh intentado como dice la guia y no lo eh encontrado y ya busque la ruta y me dice que no existe salu2

hola · 14 Marzo, 2024 01:00

ah y el reporte de eset esta incompleto por razones que desconosco pero aun asi te mando lo que hay

13:48:40 # product=EOS
# version=8
# ESETOnlineScanner.exe=3.7.3.0
# EOSSerial=
# end=init
# country="Mexico"
# lang=2058
13:50:32 Updating
13:50:32 Update Init
13:50:32 Update Download
13:52:02 Update timeout and progress <3, Retry update
13:52:02 Update Init
13:52:02 Update Download
13:54:01 # product=EOS
# version=8
# ESETOnlineScanner.exe=3.7.3.0
# EOSSerial=f77d6a9d68a0f844a7337c8985105de0
# end=init
# country="Mexico"
# lang=13322
13:54:32 Updating
13:54:32 Update Init
13:54:33 Update Download
13:54:43 Update Finalize
13:54:43 Updated modules version: 60822
17:06:15 # product=EOS
# version=8
# ESETOnlineScanner.exe=3.7.3.0
# EOSSerial=f77d6a9d68a0f844a7337c8985105de0
# end=init
# country="Mexico"
# lang=13322
17:57:15 # product=EOS
# version=8
# ESETOnlineScanner.exe=3.7.3.0
# EOSSerial=f77d6a9d68a0f844a7337c8985105de0
# end=init
# country="Mexico"
# lang=13322

DanielG · 14 Marzo, 2024 01:06

Bueno no importa

Como sigue el problema?

Saludos

hola · 14 Marzo, 2024 02:31

la verdad un poco molesto no se porque powershell quiere acceder a mis archivos e descubierto que si uso otro perfil no me aparece eso asi que no se a que se deba e pensado en formatiar pero tengo archivo muy importantes

pero no se si sea un codigo que se halla inyectado en powershell salu2.

DanielG · 14 Marzo, 2024 02:43

Hola nuevamente

Realiza lo siguiente

Desactive temporalmente su antivirus. ¿Cómo deshabilitar temporalmente su Antivirus?

Por favor, descargue Farbar Recovery Scan Tool de acuerdo a su tipo de sistema y guárdelo en el Escritorio del sistema.

¿Cómo saber si mi Windows es de 32 o 64 bits?

Haga clic con el botón derecho sobre él y seleccionar “Ejecutar como Administrador”, para ejecutar la herramienta con permisos de administrador.
Cuando la herramienta se abra, haga clic en Sí para aceptar el Disclaimer/ Descargo de responsabilidad.
Haga clic en el botón Scan (Analizar) y espere a que termine.
La herramienta creará dos informes FRST.txt y Addition.txt ubicados en el mismo directorio desde el que se ejecuta la herramienta.
Por favor, traiga el contenido de estos reportes en su próxima respuesta.

¿Como Pegar Reportes en el Foro?

Saludos