Proceso Systeminfo.exe me pone cpu al 100%


#1

Buenas, por error descargue y ejecute un archivo .vbe y creo que se ma ha metido un virus que pone la cpu al 100% para minar. He seguido la guia de deteccion y eliminacion de malwares 2018 pero no se ha solucionado.

Dejo el informe de malwarebytes:

Malwarebytes www.malwarebytes.com

-Detalles del registro- Fecha del análisis: 5/10/18 Hora del análisis: 10:53 Archivo de registro: 26fca918-c87c-11e8-95de-103254745563.json

-Información del software- Versión: 3.6.1.2711 Versión de los componentes: 1.0.463 Versión del paquete de actualización: 1.0.7195 Licencia: Prueba

-Información del sistema- SO: Windows 7 Service Pack 1 CPU: x64 Sistema de archivos: NTFS Usuario: David-PC\David

-Resumen del análisis- Tipo de análisis: Análisis de amenazas Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 451665 Amenazas detectadas: 52 Amenazas en cuarentena: 52 Tiempo transcurrido: 5 min, 39 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 8 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\MSI, En cuarentena, [3703], [402321],1.0.7195 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{E7255E17-9B8F-4D27-B862-20D442202876}, En cuarentena, [3703], [402321],1.0.7195 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN{E7255E17-9B8F-4D27-B862-20D442202876}, En cuarentena, [3703], [402321],1.0.7195 PUP.Optional.MailRu, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY{68AE298D-7E8A-4F53-BE55-15D2B065F6C0}, En cuarentena, [240], [471429],1.0.7195 PUP.Optional.IdleKMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AutoPico Daily Restart, En cuarentena, [9190], [156330],1.0.7195 PUP.Optional.IdleKMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{4E92552F-54F9-4BB0-B2C0-EED9EE615B38}, En cuarentena, [9190], [156330],1.0.7195 PUP.Optional.IdleKMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN{4E92552F-54F9-4BB0-B2C0-EED9EE615B38}, En cuarentena, [9190], [156330],1.0.7195 Adware.Wajam, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, En cuarentena, [465], [-1],0.0.0

Valor del registro: 13 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{E7255E17-9B8F-4D27-B862-20D442202876}|PATH, En cuarentena, [3703], [402319],1.0.7195 PUP.Optional.MailRu, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY{68AE298D-7E8A-4F53-BE55-15D2B065F6C0}|APPPATH, En cuarentena, [240], [471429],1.0.7195 Adware.Wajam, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1017\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1021\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYOVERRIDE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1017\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYOVERRIDE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 1 PUP.Optional.Olacarita, C:\USERS\DEFAULTAPPPOOL\APPDATA\LOCAL\OLACARITA, En cuarentena, [2459], [178738],1.0.7195

Archivo: 30 PUP.Optional.StartPage24, C:\USERS\DAVID\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GLOX5ZIH.DEFAULT-1495637458912\EXTENSIONS\[email protected], En cuarentena, [4646], [186354],1.0.7195 PUP.Optional.Olacarita, C:\Users\DefaultAppPool\AppData\Local\Olacarita\config, En cuarentena, [2459], [178738],1.0.7195 PUP.Optional.Olacarita, C:\Users\DefaultAppPool\AppData\Local\Olacarita\state, En cuarentena, [2459], [178738],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.tb.ask.com_0.localstorage, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.tb.ask.com_0.localstorage-journal, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.tb.ask.com_0.localstorage, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.tb.ask.com_0.localstorage-journal, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.myway.com_0.localstorage, En cuarentena, [1702], [443124],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.myway.com_0.localstorage-journal, En cuarentena, [1702], [443124],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.myway.com_0.localstorage, En cuarentena, [1702], [443124],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.myway.com_0.localstorage-journal, En cuarentena, [1702], [443124],1.0.7195 Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\MSI, En cuarentena, [3703], [402321],1.0.7195 PUP.Optional.IdleKMS, C:\WINDOWS\SYSTEM32\TASKS\AutoPico Daily Restart, En cuarentena, [9190], [156330],1.0.7195 PUP.Optional.IdleKMS, C:\PROGRAM FILES\KMSPICO\AUTOPICO.EXE, En cuarentena, [9190], [156330],1.0.7195 Adware.Wajam, C:\WINDOWS\58FD99CF786C99D17F66D6E024FEFF98.EXE, En cuarentena, [465], [415159],1.0.7195 Adware.Elex.ShrtCln, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [255], [454711],1.0.7195 Adware.Elex.ShrtCln, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [255], [454711],1.0.7195 Generic.Malware/Suspicious, C:\PROGRAM FILES (X86)\MOVAVI VIDEO CONVERTER 16\CONVERTERS.EXE, En cuarentena, [0], [392686],1.0.7195 PUP.Optional.ASK, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [2], [454827],1.0.7195 PUP.Optional.ASK, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2], [454827],1.0.7195 PUP.Optional.StartPage.Generic, C:\USERS\DAVID\APPDATA\LOCAL\MICROSOFT\START MENU\ВOйти в ИнтEрнEт.LNK, En cuarentena, [245], [511418],1.0.7195 Adware.Elex.ShrtCln, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [255], [454711],1.0.7195 PUP.Optional.MailRu, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [240], [454830],1.0.7195 PUP.Optional.MailRu, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [240], [454830],1.0.7195 PUP.Optional.Spigot, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [170], [454814],1.0.7195 PUP.Optional.Spigot, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [170], [454814],1.0.7195 Generic.Malware/Suspicious, C:\PROGRAM FILES (X86)\MOVAVI VIDEO CONVERTER 16\PATCH.MOVAVI.VIDEO.CONVERTER.16.0.0.EXE, En cuarentena, [0], [392686],1.0.7195 PUP.Optional.SearchModule, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [257], [458372],1.0.7195 PUP.Optional.SearchModule, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [257], [458372],1.0.7195 Generic.Malware/Suspicious, C:\USERS\DAVID\APPDATA\LOCAL\JDOWNLOADER V2.0\JDMERGER1.4.EXE, En cuarentena, [0], [392686],1.0.7195

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)


#3

Hola David86bcn, Bienvenido al foro

Vamos a ver si podemos eliminar el virus.

:one: Malewarebytes Anti-Maleware

Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware , revisa en detalle el manual, para que sepas usarlo y configurarlo. Te doy las instrucciones de esta versión 3

• Haces clic en Analizar

• Selecciona Análisis de amenazas

• Haces clic en Iniciar análisis y esperas pacientemente a que lo termine

• Nota: Si activaste la versión de Prueba o tienes la versión PREMIUM. Malwarebytes debe enviar las amenazas automáticamente a cuarentena; si has desactivado la cuarentena automática o estas usando la versión FREE. Deberas Seleccionar todo lo que encuentre y presionar el boton Quarentena Seleccionada para enviar las amenazas a cuarentena manualmente.

• Reinicia el equipo para completar el procedimiento de desinfección

El reporte del último análisis que has realizado lo encontraras:

• Haces clic en Informes

• Marcas la casilla que corresponda al análisis que realizaste ( fíjate por la fecha y hora ) y debe decir "Informe de análisis"

• Clic al botón Ver informe

• Clic al botón Exportar y selecciona "Archivo de texto (*.txt)

• Ponle el nombre que quieras y lo pegas en este Tema.

:two: Realiza un escaneo en linea ESET Online Scanner

  • Desactiva el Antivirus (Cómo deshabilitar temporalmente su Antivirus).
  • Después de realizar el escaneo, vuelves a activar el Antivirus
  • Descarga y ejecuta ESET Online (Ver Manual) , Versión V2
  • Marca las casillas de Eliminar las amenazas detectadas y analizar archivos.
  • Haz clic en Configuración adicional y tilda las casillas:
  • Analizar en busca de aplicaciones potencialmente indeseables,
  • Analizar en busca de aplicaciones potencialmente peligrosas
  • Activar la tecnología Anti-Stealth.

• Pulsa en Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.

• Cuando acabe haz clic en Finalizar

ESET Online Scanner tambien almacena el archivo de registro de luego de ser ejecutado, el cual puede ser examinado o enviado a el foro… Nuevos registros son agregados a los existentes cuando se ejecutan múltiples exploraciones.

La ruta del archivo de registro es: C:\Archivos de programa o C:\Archivos de programa (x86) para sistemas de 64 bits\Eset\ log.txt :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits?

:three: AdwCleaner

Descarga AdwCleaner | InfoSpyware en el escritorio.

• Cierra también todos los programas que tengas abiertos.

• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.)

• Pulsar en el botón Escanear , y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar .

• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas .

• Guardas el reporte que te aparecerá y lo anexas en un mensaje.

• El informe también se puede encontrar en C:\Archivos de programa o C: Archivos de programa(x86), si el sistema es de 64 bits –Adwcleaner- AdwCleaner[CX].txt

:four: CCleaner

Descarga, instala y/o actualiza Ccleaner (https://www.infospyware.com/herramientas/ccleaner/)

• Abres Ccleaner en la pestaña limpiador dejas como está configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador

• clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad


#4

He pasado los 4 programas pero no se me ha solucionado. Pongo los informes del Malewarebytes y del AdwCleaner. Del ESET Online Scanner no encuentro la carpeta Eset en Archivos de programa (x86) (tengo 64 bits).

Malwwarebytes:

Malwarebytes

-Detalles del registro- Fecha del análisis: 5/10/18 Hora del análisis: 10:53 Archivo de registro: 26fca918-c87c-11e8-95de-103254745563.json

-Información del software- Versión: 3.6.1.2711 Versión de los componentes: 1.0.463 Versión del paquete de actualización: 1.0.7195 Licencia: Prueba

-Información del sistema- SO: Windows 7 Service Pack 1 CPU: x64 Sistema de archivos: NTFS Usuario: David-PC\David

-Resumen del análisis- Tipo de análisis: Análisis de amenazas Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 451665 Amenazas detectadas: 52 Amenazas en cuarentena: 52 Tiempo transcurrido: 5 min, 39 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 8 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\MSI, En cuarentena, [3703], [402321],1.0.7195 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{E7255E17-9B8F-4D27-B862-20D442202876}, En cuarentena, [3703], [402321],1.0.7195 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN{E7255E17-9B8F-4D27-B862-20D442202876}, En cuarentena, [3703], [402321],1.0.7195 PUP.Optional.MailRu, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY{68AE298D-7E8A-4F53-BE55-15D2B065F6C0}, En cuarentena, [240], [471429],1.0.7195 PUP.Optional.IdleKMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AutoPico Daily Restart, En cuarentena, [9190], [156330],1.0.7195 PUP.Optional.IdleKMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{4E92552F-54F9-4BB0-B2C0-EED9EE615B38}, En cuarentena, [9190], [156330],1.0.7195 PUP.Optional.IdleKMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN{4E92552F-54F9-4BB0-B2C0-EED9EE615B38}, En cuarentena, [9190], [156330],1.0.7195 Adware.Wajam, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, En cuarentena, [465], [-1],0.0.0

Valor del registro: 13 Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{E7255E17-9B8F-4D27-B862-20D442202876}|PATH, En cuarentena, [3703], [402319],1.0.7195 PUP.Optional.MailRu, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY{68AE298D-7E8A-4F53-BE55-15D2B065F6C0}|APPPATH, En cuarentena, [240], [471429],1.0.7195 Adware.Wajam, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1017\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1021\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYOVERRIDE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU\S-1-5-21-525804818-3885934609-3043699492-1017\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYOVERRIDE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKU.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0 Adware.Wajam, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, [465], [-1],0.0.0

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 1 PUP.Optional.Olacarita, C:\USERS\DEFAULTAPPPOOL\APPDATA\LOCAL\OLACARITA, En cuarentena, [2459], [178738],1.0.7195

Archivo: 30 PUP.Optional.StartPage24, C:\USERS\DAVID\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\GLOX5ZIH.DEFAULT-1495637458912\EXTENSIONS\[email protected], En cuarentena, [4646], [186354],1.0.7195 PUP.Optional.Olacarita, C:\Users\DefaultAppPool\AppData\Local\Olacarita\config, En cuarentena, [2459], [178738],1.0.7195 PUP.Optional.Olacarita, C:\Users\DefaultAppPool\AppData\Local\Olacarita\state, En cuarentena, [2459], [178738],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.tb.ask.com_0.localstorage, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.tb.ask.com_0.localstorage-journal, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.tb.ask.com_0.localstorage, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.tb.ask.com_0.localstorage-journal, En cuarentena, [1702], [443123],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.myway.com_0.localstorage, En cuarentena, [1702], [443124],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_filmfanatic2.dl.myway.com_0.localstorage-journal, En cuarentena, [1702], [443124],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.myway.com_0.localstorage, En cuarentena, [1702], [443124],1.0.7195 PUP.Optional.MindSpark.Generic, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\LOCAL STORAGE\http_gifables.dl.myway.com_0.localstorage-journal, En cuarentena, [1702], [443124],1.0.7195 Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\MSI, En cuarentena, [3703], [402321],1.0.7195 PUP.Optional.IdleKMS, C:\WINDOWS\SYSTEM32\TASKS\AutoPico Daily Restart, En cuarentena, [9190], [156330],1.0.7195 PUP.Optional.IdleKMS, C:\PROGRAM FILES\KMSPICO\AUTOPICO.EXE, En cuarentena, [9190], [156330],1.0.7195 Adware.Wajam, C:\WINDOWS\58FD99CF786C99D17F66D6E024FEFF98.EXE, En cuarentena, [465], [415159],1.0.7195 Adware.Elex.ShrtCln, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [255], [454711],1.0.7195 Adware.Elex.ShrtCln, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [255], [454711],1.0.7195 Generic.Malware/Suspicious, C:\PROGRAM FILES (X86)\MOVAVI VIDEO CONVERTER 16\CONVERTERS.EXE, En cuarentena, [0], [392686],1.0.7195 PUP.Optional.ASK, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [2], [454827],1.0.7195 PUP.Optional.ASK, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [2], [454827],1.0.7195 PUP.Optional.StartPage.Generic, C:\USERS\DAVID\APPDATA\LOCAL\MICROSOFT\START MENU\ВOйти в ИнтEрнEт.LNK, En cuarentena, [245], [511418],1.0.7195 Adware.Elex.ShrtCln, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [255], [454711],1.0.7195 PUP.Optional.MailRu, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [240], [454830],1.0.7195 PUP.Optional.MailRu, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [240], [454830],1.0.7195 PUP.Optional.Spigot, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [170], [454814],1.0.7195 PUP.Optional.Spigot, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [170], [454814],1.0.7195 Generic.Malware/Suspicious, C:\PROGRAM FILES (X86)\MOVAVI VIDEO CONVERTER 16\PATCH.MOVAVI.VIDEO.CONVERTER.16.0.0.EXE, En cuarentena, [0], [392686],1.0.7195 PUP.Optional.SearchModule, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sustituido, [257], [458372],1.0.7195 PUP.Optional.SearchModule, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [257], [458372],1.0.7195 Generic.Malware/Suspicious, C:\USERS\DAVID\APPDATA\LOCAL\JDOWNLOADER V2.0\JDMERGER1.4.EXE, En cuarentena, [0], [392686],1.0.7195

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

AdwCleaner:

-------------------------------

Malwarebytes AdwCleaner 7.2.4.0

-------------------------------

Build: 09-25-2018

Database: 2018-10-04.1 (Cloud)

Support:

-------------------------------

Mode: Clean

-------------------------------

Start: 10-05-2018

Duration: 00:00:02

OS: Windows 7 Ultimate

Cleaned: 36

Failed: 0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted C:\ProgramData\368DB2E7 Deleted C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mipony Deleted C:\Program Files (x86)\mipony Deleted C:\Users\David\AppData\Roaming\mipony Deleted C:\Users\David\AppData\Roaming…\Local\wupdate Deleted C:\Program Files (x86)\MaxUtilities

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted HKCU\Software\RegisteredApplications|AceStream Deleted HKLM\Software\DivX\Install\Setup\WizardLayout\ConduitSearchProtect Deleted HKCU\Software\Conduit Deleted HKLM\Software\Classes\CLSID{5CD76C57-6893-478A-B776-47E7C82504BE} Deleted HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Acronis Scheduler2 Service Deleted HKLM\SYSTEM\CurrentControlSet\Control\iSafeKrnlBoot Deleted HKLM\Software\Classes\Interface{ED87E2F4-838D-46BA-BFD9-DFA28310934B} Deleted HKLM\Software\Classes\Interface{5582B980-DB2C-4894-9DC1-B9678ADD286D} Deleted HKLM\Software\Classes\Interface{EBBC143E-44AC-4B9C-BCCE-9A0E42921F2A} Deleted HKLM\Software\Classes\Interface{655847A1-FA36-46ED-923B-A5CD523696EA} Deleted HKLM\Software\Classes\Interface{E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C} Deleted HKLM\Software\Classes\Interface{790F2D3B-18EE-40E2-A45E-1FAC13B6AFB8} Deleted HKLM\Software\Classes\Interface{138F4260-66CA-4F7C-812F-C6EED99B7EC7} Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Preapproved{5EC7C511-CD0F-42E6-830C-1BD9882F3458} Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats{5EC7C511-CD0F-42E6-830C-1BD9882F3458} Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats{5E6A8DA1-5731-465B-B036-B9E16EF26CAC} Deleted HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\SpyHunter4.exe Deleted HKLM\Software\DivX\Install\Setup\WizardLayout\UniblueDriverScanner

***** [ Chromium (and derivatives) ] *****

Deleted kneggodalbcmgdkkfhbhbicbbahnacjb

***** [ Chromium URLs ] *****

Deleted banggood.com Deleted EasyLife Deleted EasyLife Deleted es.infinbox.com Deleted Softonic ES Deleted Softonic ES Deleted Softonic ES Deleted Softonic ES Deleted Softonic ES Deleted Softonic ES Deleted Softonic ES

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


[+] Delete Tracing Keys [+] Reset Winsock


AdwCleaner[S00].txt - [3984 octets] - [05/10/2018 18:41:53]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########


#5

Ya he encontrado el archivo de registro del ESET Online Scanner, aqui lo dejo, y aprobecho para dejar los otros dos archivos de registro adjuntos, ya que antes no me dejaba adjuntarlos.

log.txt (17,4 KB)AdwCleaner[C00].txt (3,4 KB) informe malware.txt (9,2 KB)


#6

Comentaros que tambien los pase en modo a prueba de fallos y no me detectaron nada raro… pero el virus y el keylogger siguen estando y el mineo me sigue poniendo la cpu al 100%. Por lo que he leido, el virus te crea en “C:” una carpeta con el nombre del PC y dentro de ella unos archivos: bill, nwkrwusnlr.exe, pe.bin, shell.txt, test.au3. Y tambien otra carpeta dentro de “appdata” con nombre aleatorio muy largo de letras y numeros y dentro otra carpeta llamada “miner” y un archivo .log que debe ser todo lo que registra el keylogger. Aun borrandolas, la de dentro de “appdata” vuelve a aparecer al reiniciar el PC.

Que mas puedo hacer?

Gracias por la ayuda.


#8

No se si esta permitido, pero he encontrado la solucion a este virus que se instala al ejecutar archivos torrent.vbe y pone la cpu al 100% a minear y mete tambien un keylogger.

Dejo el enlace de otro foro con la solucion paso a paso: https://www.mediavida.com/foro/hard-soft/troyano-minador-617386/2#52

A mi me ha funcionado (y a mas gente tambien).

Saludos.


[Virus] CPU 100% mientras no este abierto administrador de tareas - proceso Systeminfo.exe
#9

Lo prmero davi86bcn, pedirte disculpa por no responderte antes. He tenido un fin de semana muy cargado de cosas para hacer. Excelente enlace el que aportas. ¡Es fantástico la forma como ha obtenido el usuario la vacuna! Creo que los moderadores verán el enlace correcto porque aporta la solución detallada.

Precisamente la solución que iba a decirte, antes de leer tu enlace, era ejecutar una batería de tres antirookits (entre ellos Rkill) y luego volver a pasar Maleware Antimaleware y Adware Cleaner más algun otro. Así que, sin en enlace posiblemente hubieramos solucionado el problemas.

Saludos.


#10