Problema para eliminar virus backdoor.Agent, explorer.exe, svchots.exe, trojan.gosys Malwarebyte

#1

Buenas noches, tengo una urgencia, espero puedan echarme una mano. Es el caso, instale Malwarebitz para eliminar virus de mi computadora, el programa detecta: mrsys.exe, backdoor.bot, trojan.gosys, trojan.malpack, explorer.exe, spoolsv.exe, svchots.exe; los coloco en cuarentena, reinicio (tal y como lo pide el programa para realizar acciones de remoción), entro al programa, eliminó los archivos de cuarentena, luego vuelvo a escanear nuevamente y los virus no han sido eliminados (una y otra vez). Por favor, ayuda.

Punto importante, no tengo internet en la computadora, todo lo que refiere conexión a la wed lo manejo via smartphone, siendo esta una limitante para poder ejecutar ciertas herramientas de eliminación. Quien pueda, por favor, atienda este post y eche una mano.

Gracias de antemano.

Rutas de acceso:

Disco local © \ windows \ System \ explorer Disco local © \ windows \ System \ spoolsv Disco local © \ windows \ System \ svchots Disco local © \ usuarios \ JEFFERSON \ AppData \ Roaming \ mrsys

Con distintas modificaciones en el registro. Y el CPU trabajando al 100%, cabe decir, extremadamente lento.

#2

Aunque ella ya realizado alguno de los pasos realice y ejecuta los programas que te indico tal cual se indica

Realiza los siguientes pasos, , sin cambiar el orden

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware,

Manual Malwarebytes, para que sepas usarlo y configurarlo.

  • Realiza un Análisis Personalizado,marcando Todas las casillas de la derecha y de la Izquierda actualizando si te lo pide.
  • Pulsar en “Eliminar Seleccionados” para enviarlo a la cuarentena y Reinicias el sistema.
  • Para acceder posteriormente al informe del análisis : Informes >> Registro de análisis >> Pulsar en >> Exportar >> Copiar al Portapapeles, y lo pegas en tu respuesta

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward:Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad.

  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")

  • Pulsar en el botón Analizar Ahora, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Iniciar Reparacion.

  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.

  • Si no encuentra nada, pulsamos “Omitir Reparación

  • El log lo encontramos en la pestaña “Informes”, volviendo a abrir el programa, si es necesario o en"C:\AdwCleaner\Logs\AdwCleaner[C0].txt"

Puedes mirar su manual >> Manual de Adwcleaner

3) Descarga Ccleaner

Instalalo y ejecútalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.

Pega los reportes de Malwarebytes, AdwCleaner y comentas como va el problema.


#3

Finísimo, tengo un problema, mi PC no esta conectada a internet, al principio trate de limpiarla con una batería de programas, mas, en vista de que no pueden actualizarse no fueron eficaces. Me puedes dar alguna sugerencia (karpersky virus removal tools, quizas)

#4
  • Desactiva Temporalmente tu antivirus y cualquier programa de seguridad.

  • Descarga a Tu Escritorio >> Esto es muy importante<<.,Fabar Recovery Scan Tool, considerando la versión adecuada para tu equipo. (32 o 64 bits) :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits?

  • Doble clic para ejecutar Frst.exe. En la ventana del Disclaimer, presiona Yes.

  • En la nueva ventana que se abre, presiona el botón Scan y espera a que concluya el análisis.

  • Se abrirán dos (2) archivos (Logs), Frst.txt y Addition.txt, que estarán grabados en Tu escritorio.

En Tu próxima respuesta, copias y pegas los dos reportes Frst.txt y Addition.txt de FRST

Nota: Si el/los reportes solicitados no entraran en una sola respuesta porque superan la cantidad de caracteres permitidos, puedes utilizar dos o mas respuestas para pegarlos completamente.

#5

Perfecto. Lo ejecute como administrador (windows 7), mas se detiene en un numero de archivos específicos y no avanza mas de ahí. Un millón de gracias por lo que puedas hacer.

#6

Vale intenta ejecutarlo en modo seguro

#8

FRST.txt (340,5 KB)

Addition.txt (21,6 KB)

Aquí están los archivos, gracias por lo hecho hasta ahora.

#9
Additional scan result of Farbar Recovery Scan Tool (x86) Version: 08-05-2019
Ran by JEFFERSON (02-01-2008 09:33:26)
Running from C:\Users\JEFFERSON\Desktop
Microsoft Windows 7 Home Basic  (X86) (2019-05-01 04:04:17)
Boot Mode: Safe Mode (minimal)
==========================================================


==================== Accounts: =============================

Administrador (S-1-5-21-3707384168-3412334606-1938796612-500 - Administrator - Disabled)
Invitado (S-1-5-21-3707384168-3412334606-1938796612-501 - Limited - Disabled)
JEFFERSON (S-1-5-21-3707384168-3412334606-1938796612-1000 - Administrator - Enabled) => C:\Users\JEFFERSON

==================== Security Center ========================

(If an entry is included in the fixlist, it will be removed.)

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

(Only the adware programs with "Hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

Malwarebytes versión 3.2.2.2029 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.2.2.2029 - Malwarebytes)
Microsoft Office Professional Plus 2010 (HKLM\...\Office14.PROPLUS) (Version: 14.0.4763.1000 - Microsoft Corporation)
WinRAR 5.50 (32-bit) (HKLM\...\WinRAR archiver) (Version: 5.50.0 - win.rar GmbH)

==================== Custom CLSID (Whitelisted): ==========================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (win.rar GmbH -> Alexander Roshal) [File not signed]
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-08-30] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-08-30] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2017-08-11] (win.rar GmbH -> Alexander Roshal) [File not signed]

==================== Shortcuts & WMI ========================

(The entries could be listed to be restored or removed.)


==================== Loaded Modules (Whitelisted) ==============

2008-01-01 22:09 - 2017-10-04 13:15 - 001073664 _____ (Igor Pavlov) [File not signed] C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\7z.dll
2008-01-01 22:09 - 2017-08-29 21:31 - 000038912 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qdds.dll
2008-01-01 22:09 - 2017-08-29 21:30 - 000024576 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qgif.dll
2008-01-01 22:09 - 2017-08-29 21:31 - 000031232 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qicns.dll
2008-01-01 22:09 - 2017-08-29 21:31 - 000025088 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qico.dll
2008-01-01 22:09 - 2017-08-29 21:31 - 000242176 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qjpeg.dll
2008-01-01 22:09 - 2017-08-29 21:32 - 000019968 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qsvg.dll
2008-01-01 22:09 - 2017-08-29 21:31 - 000018944 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qtga.dll
2008-01-01 22:09 - 2017-08-29 21:32 - 000318976 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qtiff.dll
2008-01-01 22:09 - 2017-08-29 21:32 - 000017920 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qwbmp.dll
2008-01-01 22:09 - 2017-08-29 21:32 - 000328704 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\imageformats\qwebp.dll
2008-01-01 22:09 - 2017-08-29 21:31 - 000993792 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\platforms\qwindows.dll
2008-01-01 22:09 - 2017-08-30 08:12 - 004794368 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5Core.dll
2008-01-01 22:09 - 2017-08-29 21:27 - 005093888 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5Gui.dll
2008-01-01 22:09 - 2017-08-29 21:25 - 002010624 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5Network.dll
2008-01-01 22:09 - 2017-08-29 21:34 - 002514944 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5Qml.dll
2008-01-01 22:09 - 2017-08-29 21:37 - 002567168 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5Quick.dll
2008-01-01 22:09 - 2017-08-29 21:32 - 000247808 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5Svg.dll
2008-01-01 22:09 - 2017-08-29 21:29 - 004480512 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5Widgets.dll
2008-01-01 22:09 - 2017-08-29 21:40 - 000206336 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\Qt5WinExtras.dll
2008-01-01 22:09 - 2017-08-29 21:39 - 000013312 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\QtQml\Models.2\modelsplugin.dll
2008-01-01 22:09 - 2017-08-29 21:39 - 000013312 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\QtQuick.2\qtquick2plugin.dll
2008-01-01 22:09 - 2017-08-29 21:45 - 000697344 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\QtQuick\Controls\qtquickcontrolsplugin.dll
2008-01-01 22:09 - 2017-08-29 21:45 - 000172544 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\QtQuick\Dialogs\dialogplugin.dll
2008-01-01 22:09 - 2017-08-29 21:44 - 000069632 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\QtQuick\Layouts\qquicklayoutsplugin.dll
2008-01-01 22:09 - 2017-08-29 21:45 - 000096768 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\QtQuick\PrivateWidgets\widgetsplugin.dll
2008-01-01 22:09 - 2017-08-29 21:39 - 000013312 _____ (The Qt Company Ltd) [File not signed] C:\Program Files\Malwarebytes\Anti-Malware\QtQuick\Window.2\windowplugin.dll
2019-05-01 05:05 - 2017-08-11 14:54 - 000369368 _____ (win.rar GmbH -> Alexander Roshal) [File not signed] C:\Program Files\WinRAR\rarext.dll

==================== Alternate Data Streams (Whitelisted) =========

==================== Safe Mode (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The "AlternateShell" value will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMSwissArmy => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMSwissArmy => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="1"

==================== Association (Whitelisted) ===============

(If an entry is included in the fixlist, the registry item will be restored to default or removed.)


==================== Internet Explorer trusted/restricted ===============

(If an entry is included in the fixlist, it will be removed from the registry.)


==================== Hosts content: ===============================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2009-07-14 03:04 - 2009-06-10 22:39 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts


==================== Other Areas ============================

(Currently there is no automatic fix for this section.)

HKU\S-1-5-21-3707384168-3412334606-1938796612-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\JEFFERSON\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: Media is not connected to internet.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

==================== MSCONFIG/TASK MANAGER disabled items ==

If an entry is included in the fixlist, it will be removed.


==================== FirewallRules (Whitelisted) ===============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

FirewallRules: [TCP Query User{7F48407B-0F29-43A9-A6D1-D19B64DDCFCA}C:\windows\system32\dwm.exe] => (Allow) C:\windows\system32\dwm.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [UDP Query User{7CE226CE-30B5-4D64-8A51-CD0FD4189576}C:\windows\system32\dwm.exe] => (Allow) C:\windows\system32\dwm.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [TCP Query User{DC64B099-1014-4C55-9807-A39712B3A2FC}C:\windows\system\explorer.exe] => (Block) C:\windows\system\explorer.exe () [File not signed]
FirewallRules: [UDP Query User{1B0A8B1C-0780-49FD-BD6E-363431705249}C:\windows\system\explorer.exe] => (Block) C:\windows\system\explorer.exe () [File not signed]
FirewallRules: [TCP Query User{4869677E-ADF9-41B1-AC02-52B967FF6E93}C:\windows\system\spoolsv.exe] => (Block) C:\windows\system\spoolsv.exe () [File not signed]
FirewallRules: [UDP Query User{B83F215A-CE6F-4810-BEBE-6EEFBADA00E5}C:\windows\system\spoolsv.exe] => (Block) C:\windows\system\spoolsv.exe () [File not signed]
FirewallRules: [TCP Query User{30A29AE5-A327-4EC3-ABD0-E519875C51F6}C:\windows\explorer.exe] => (Block) C:\windows\explorer.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [UDP Query User{D4C19E30-F990-4168-8970-A2C9AA5325C4}C:\windows\explorer.exe] => (Block) C:\windows\explorer.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [TCP Query User{03FBC2CC-8E35-45C5-8D6D-2577A8C0A662}C:\windows\system32\taskhost.exe] => (Block) C:\windows\system32\taskhost.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [UDP Query User{044E7A6B-80B5-4ECB-A638-04766BA59921}C:\windows\system32\taskhost.exe] => (Block) C:\windows\system32\taskhost.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [TCP Query User{3C63C9D3-97FD-4254-9CA8-BD4EE475D85C}C:\users\jefferson\appdata\roaming\mrsys.exe] => (Block) C:\users\jefferson\appdata\roaming\mrsys.exe () [File not signed]
FirewallRules: [UDP Query User{F0A783B5-16CA-4356-9072-3818B2D8AB43}C:\users\jefferson\appdata\roaming\mrsys.exe] => (Block) C:\users\jefferson\appdata\roaming\mrsys.exe () [File not signed]
FirewallRules: [TCP Query User{5ED40B35-C45F-46D0-8240-2A4A8130D02B}C:\windows\system\svchost.exe] => (Block) C:\windows\system\svchost.exe () [File not signed]
FirewallRules: [UDP Query User{E1014354-47A9-4F39-977F-6D0894743D2B}C:\windows\system\svchost.exe] => (Block) C:\windows\system\svchost.exe () [File not signed]
FirewallRules: [TCP Query User{ACFB452C-6526-45F6-BF5F-2FBFCCBFD1DC}D:\programas\vlc-3.0.6\vlc.exe] => (Block) D:\programas\vlc-3.0.6\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [UDP Query User{3D583776-CD19-41DD-95B1-069D54AB2244}D:\programas\vlc-3.0.6\vlc.exe] => (Block) D:\programas\vlc-3.0.6\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [TCP Query User{E772E87C-A984-40F0-B06E-B889F8491802}D:\programas\portable - c cleaner 528\ccleaner.exe] => (Block) D:\programas\portable - c cleaner 528\ccleaner.exe No File
FirewallRules: [UDP Query User{C1A20086-E11F-4E41-8811-3FDDDF0BBC26}D:\programas\portable - c cleaner 528\ccleaner.exe] => (Block) D:\programas\portable - c cleaner 528\ccleaner.exe No File
FirewallRules: [TCP Query User{6A87F4F9-91FE-41E3-A445-193EF3E4BB39}C:\users\jefferson\desktop\4r9stp1f.exe] => (Block) C:\users\jefferson\desktop\4r9stp1f.exe (Microsoft) [File not signed]
FirewallRules: [UDP Query User{FEF25766-B9FA-4AF2-B76E-A37D353B16C4}C:\users\jefferson\desktop\4r9stp1f.exe] => (Block) C:\users\jefferson\desktop\4r9stp1f.exe (Microsoft) [File not signed]
FirewallRules: [TCP Query User{5E125701-6861-4E0B-99C5-45EC22B1C586}C:\users\jefferson\desktop\delfix_1.013.exe] => (Block) C:\users\jefferson\desktop\delfix_1.013.exe (Microsoft) [File not signed]
FirewallRules: [UDP Query User{4FC7D96A-0838-46E6-A689-D2C671509917}C:\users\jefferson\desktop\delfix_1.013.exe] => (Block) C:\users\jefferson\desktop\delfix_1.013.exe (Microsoft) [File not signed]
FirewallRules: [TCP Query User{9505742D-780A-4C48-B67C-F0D3857D465F}C:\program files\malwarebytes\anti-malware\unins001.exe] => (Block) C:\program files\malwarebytes\anti-malware\unins001.exe () [File not signed]
FirewallRules: [UDP Query User{C2BFE616-985A-4557-89B1-DACEC3144F05}C:\program files\malwarebytes\anti-malware\unins001.exe] => (Block) C:\program files\malwarebytes\anti-malware\unins001.exe () [File not signed]

==================== Restore Points =========================

01-01-2008 21:18:03 Installed Microsoft Office Professional Plus 2010
01-01-2008 21:33:03 Instalador de Módulos de Windows
01-01-2008 21:35:47 Instalador de Módulos de Windows
01-01-2008 22:13:00 Instalador de Módulos de Windows
02-01-2008 00:41:05 JRT Pre-Junkware Removal
02-01-2008 02:44:51 JRT Pre-Junkware Removal
02-01-2008 02:48:46 JRT Pre-Junkware Removal
02-01-2008 09:06:56 JRT Pre-Junkware Removal
02-01-2008 09:08:20 JRT Pre-Junkware Removal
01-05-2019 22:46:43 Installed Microsoft Office Professional Plus 2010

==================== Faulty Device Manager Devices =============

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Security Processor Loader Driver
Description: Security Processor Loader Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: spldr
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Event log errors: =========================

Application errors:
==================
Error: (01/02/2008 09:28:24 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT AUTHORITY)
Description: Error al descargar las cadenas del contador de rendimiento para el servicio WmiApRpl (WmiApRpl). El primer valor DWORD de la sección de datos contiene el código de error.

Error: (01/02/2008 09:28:24 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: Las cadenas de rendimiento del valor del Registro de rendimiento están dañadas al procesar el proveedor de contador de extensión Performance. El valor BaseIndex del Registro de rendimiento es el primer valor DWORD, el valor LastCounter es el segundo valor DWORD y el valor LastHelp es el tercer valor DWORD de la sección de datos.

Error: (01/02/2008 09:28:24 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: Las cadenas de rendimiento del valor del Registro de rendimiento están dañadas al procesar el proveedor de contador de extensión Performance. El valor BaseIndex del Registro de rendimiento es el primer valor DWORD, el valor LastCounter es el segundo valor DWORD y el valor LastHelp es el tercer valor DWORD de la sección de datos.

Error: (01/02/2008 09:21:48 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT AUTHORITY)
Description: Error al descargar las cadenas del contador de rendimiento para el servicio WmiApRpl (WmiApRpl). El primer valor DWORD de la sección de datos contiene el código de error.

Error: (01/02/2008 09:21:48 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: Las cadenas de rendimiento del valor del Registro de rendimiento están dañadas al procesar el proveedor de contador de extensión Performance. El valor BaseIndex del Registro de rendimiento es el primer valor DWORD, el valor LastCounter es el segundo valor DWORD y el valor LastHelp es el tercer valor DWORD de la sección de datos.

Error: (01/02/2008 09:21:48 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: Las cadenas de rendimiento del valor del Registro de rendimiento están dañadas al procesar el proveedor de contador de extensión Performance. El valor BaseIndex del Registro de rendimiento es el primer valor DWORD, el valor LastCounter es el segundo valor DWORD y el valor LastHelp es el tercer valor DWORD de la sección de datos.

Error: (01/02/2008 09:07:47 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3011) (User: NT AUTHORITY)
Description: Error al descargar las cadenas del contador de rendimiento para el servicio WmiApRpl (WmiApRpl). El primer valor DWORD de la sección de datos contiene el código de error.

Error: (01/02/2008 09:07:47 AM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3012) (User: NT AUTHORITY)
Description: Las cadenas de rendimiento del valor del Registro de rendimiento están dañadas al procesar el proveedor de contador de extensión Performance. El valor BaseIndex del Registro de rendimiento es el primer valor DWORD, el valor LastCounter es el segundo valor DWORD y el valor LastHelp es el tercer valor DWORD de la sección de datos.


System errors:
=============
Error: (01/02/2008 09:32:01 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error: 
No se puede iniciar el servicio o grupo de dependencia.

Error: (01/02/2008 09:32:01 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error: 
No se puede iniciar el servicio o grupo de dependencia.

Error: (01/02/2008 09:32:01 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error: 
No se puede iniciar el servicio o grupo de dependencia.

Error: (01/02/2008 09:32:01 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error: 
No se puede iniciar el servicio o grupo de dependencia.

Error: (01/02/2008 09:32:01 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error: 
No se puede iniciar el servicio o grupo de dependencia.

Error: (01/02/2008 09:32:01 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error: 
No se puede iniciar el servicio o grupo de dependencia.

Error: (01/02/2008 09:32:01 AM) (Source: DCOM) (EventID: 10005) (User: )
Description: Error de DCOM "1084" al intentar iniciar el servicio WSearch con argumentos "" para ejecutar el servidor:
{9E175B6D-F52A-11D8-B9A5-505054503030}

Error: (01/02/2008 09:32:01 AM) (Source: DCOM) (EventID: 10005) (User: )
Description: Error de DCOM "1084" al intentar iniciar el servicio WSearch con argumentos "" para ejecutar el servidor:
{7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}


==================== Memory info =========================== 

BIOS: Phoenix Technologies, LTD 6.00 PG 05/20/2009
Motherboard: Foxconn G31MV/G31MV-K
Processor: Intel(R) Core(TM)2 Duo CPU E7500 @ 2.93GHz
Percentage of memory in use: 38%
Total physical RAM: 3317.18 MB
Available physical RAM: 2024.69 MB
Total Virtual: 6632.64 MB
Available Virtual: 5374.57 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:100.09 GB) (Free:82.93 GB) NTFS
Drive d: () (Fixed) (Total:132.8 GB) (Free:10.95 GB) NTFS
Drive f: () (Fixed) (Total:65.2 GB) (Free:50.71 GB) NTFS ==>[system with boot components (obtained from drive)]


==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 298.1 GB) (Disk ID: 000852C1)
Partition 1: (Not Active) - (Size=100.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=132.8 GB) - (Type=07 NTFS)
Partition 3: (Active) - (Size=65.2 GB) - (Type=07 NTFS)

==================== End of Addition.txt ============================
#10

Reviso y te dare respuesta a la noche de aquí

#11

Bien… y ahora sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

  • Para hacerlo descarga Delfix en tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


En el equipo con los demas programas cerrados:

Inicio >>> Ejecutar >>>Escribes notepad.exe.

Ahora copia y pega estos archivos dentro del Notepad:


Start
CreateRestorePoint:
CloseProcesses:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
S3 46e7ac95f86a2376; \??\C:\Users\JEFFERSON\AppData\Local\Temp\19519186.sys [X] <==== ATTENTION
2019-05-02 00:27 - 2019-05-02 00:27 - 000290170 __RSH C:\Users\JEFFERSON\AppData\Local\stsys.exe
2019-05-01 23:57 - 2019-05-02 01:09 - 000290298 __RSH C:\Users\JEFFERSON\AppData\Roaming\mrsys.exe
2019-05-01 23:57 - 2019-05-02 01:09 - 000290298 __RSH () C:\Users\JEFFERSON\AppData\Roaming\mrsys.exe
2019-05-01 06:22 - 2008-01-01 10:12 - 000003390 _____ () C:\Users\JEFFERSON\AppData\Local\icsys.icn
2008-01-02 09:29 - 2008-01-02 09:29 - 000285704 _____ (Microsoft) C:\Users\JEFFERSON\AppData\Local\icsys.icn.exe
2019-05-02 00:27 - 2019-05-02 00:27 - 000290170 __RSH () C:\Users\JEFFERSON\AppData\Local\stsys.exe

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.

  • Y ahora usa esta Faq de Windows ¿Cómo iniciar Windows en Modo Seguro?, para trabajar desde ese modo de windows. (Usa el Metodo 1 y si no puedes, usa el Metodo 2)

  • Ejecutas Frst.exe.

  • Presionas el botón Fix y aguardas a que termine.

  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).

Lo pegas en tu próxima respuesta, comentado como va el pc Y ADEMAS A VER SI HORA PUEDES SACARME UNOS NUEVOS LOGS CON FRST, como los anteriores ,pero desde el modo normal

#12

Te comento: realice los pasos tal cual, incluyendo la conversión del archivo FRTS.txt a FRTS.exe, lo ejecute y me mostró solo una pantalla CMD que inmediatamente desapareció, "NO ME MOSTRÓ EL BOTÓN FIX (QUE ENTIENDO SIRVE PARA APLICAR LOS AJUSTES QUE ME ENVIASTE EN EL ARCHIVO FIXLIST.TXT). La computadora empezó a funcionar normalmente después de que le aplique el programa Junkware removal Tool by Malwarebytes, luego con la intención de limpiar el equipo ejecute CCleaner y tiempo breve después recayó con el mismo virus. Recurri nuevamente a Junkware y esta funcionando normalmente, mas, temo que de un momento a otro el virus vuelva a tomar el control por lo que me paso antes.

Ejecute FRTS en modo normal de windows y funciona perfecto, me dio dos reportes que te adjuntare, no tengo idea de si el sistema aplico los correctivos que me enviaste en la respuesta anterior, por el momento no la moveré mas y esperare, que muy amablemente me eches la mano con esto.

Gracias por lo hecho hasta ahora

Addition.txt (21,1 KB)

FRST.txt (339,7 KB)

#13

Vamos a ver…no has leido bien mis indicaciones…que nada tenias que convertir…

Por favor, lee de nuevo

Tienes que crear el fixlist .txt como indico, ejecutar de nuevo el programa Frst.exe, pero esta vez pulsar el boton Fix…nada mas

Una duda…en este pc no hay programas instalados, salvo Malwarebytes , Winrar y Office??

#14

Ok, si, ya lo hice. También instale hace un momento USBFIX. Listo hice el procedimiento.

Te adjunto dos Fixlog, me salte elato del modo seguro, lo hice en modo normal y luego en modo seguro.

Modo normal - Fixlog.txt (5,4 KB) Modo seguro - Fixlog.txt (5,4 KB)

#15

Lo siento, por lo que leí en el primero parece que todo se restableció.

#16

Utilizo los restantes programas de forma portable; sepase: VLC, Foxitreader y CCleaner.

Es recomendable tenerlos en portable? Además, desactiva varias de las características de Windows como: reproductor windows media, internet explorer y servicios que no utilizo.

#17

Debemos leer las indicaciones antes de hacer los pasos, y ademas en caso de duda, no realizarlos por nuestra cuenta, pues podemos dañar el pc.

Si lo hiciste por error en modo normal, comenta antes de hacer por tu cuenta las cosas.

En un pc de uso normal, los programas se deben de instalar, por diferentes motivos.

Uno, que muchos portables, no son soportados por los fabricantes y son echos por terceros, con el riesgo que eso conlleva, y por otra, el funcionamiento es mas rapido en los instalados que en los portables…y tercero, no le veo utilidad a usarlos portables en un pc de uso normal, para nada de nada, salvo que se eliminan cuando no los usamos, de forma manual.

Veo por los informes que usaste Dr Web tambien…y como no tienes conexion, si quieres pasar el Kaspersky removal, en nuestra sección de manuales, tienes como usarlo.

Ahora dime como va el problema planteado

#18

Ok. Perfecto. La computadora esta funcionando perfectamente, muchas gracias. Revise los procesos y el perteneciente a la ejecución del virus ya no esta. La computadora va bastante rápido y al parecer todo volvió a la normalidad. Gracias por auxiliarme, por haberte tomado el tiempo de darme indicaciones e incluso de crear un scritp (creo es así como se escribe). Tomare en cuenta lo referente a la instalación de los programa.

Tengo una carpeta en disco local c, con el nombre de FRST, dentro de ella estan las siguientes carpetas: Hives, Logs, Quarantine. Debo hacer algo con ellas? La ukyima me preocupa.

#19

Para eliminar las herramientas usadas en la desinfección, realizas:

  • Descargas y Ejecutas >> Delfix, en tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >>;Ejecutar como Administrador.)

  • Marca solamente la casilla Remove disinfection tools

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Si queda alguna herramienta, la desinstalas desde panel de Windows y aquellas que no estén listadas, se eliminan directamente.


#20

Agradecido por todo. Una última pregunta. Hace un momento tuve que reiniciar mi maquinas porque dos programas (dwm.exe (administrador de ventanas del escritorio) y System (NT Kernel & System) pusieron trabajar la CPU a 100%, volviendo la computadora a comportarse de la misma manera que cuando estaba infectada. Puedes darme ayudarme con esto?

#26

Por los informes que veo tu sistema operativo Windows 7 está sin actualizar con el service pack 1 y demás…y eso…mal mal

Entra en Windows update y actualizar todo… Debería salir del service pack 1… y otras. run Windows update las veces que sea necesario hasta que no quede ninguna actualización pendiente.

Actualiza y comenta como va el pc

Disculpa que tú no tenías Internet

Imprescindible que actualizas el sistema para que funcione bien

https://support.microsoft.com/es-es/help/15090/windows-7-install-service-pack-1-sp1

indica cómo puedes descargar service pack para instalar posteriormente en tu ordenador

Y si puedes conectar a internet en un sitio que puedas y actualizar todo.mejor…imprescindible de tener el sistema actualizado con todos los parches y service paks que tenga.

Si no lo haces tu sistema operativo nunca funcionará bien