Procesos abiertos

Buenas Marr0n, te escribo porque ayer noche estaba ayudando a un Usuario para poder ayudarlo a resolver su problema con su ordenador en este foro y ayer mientras apagaba mi ordenador me salía una ventana abierta que decía que tenía procesos abiertos y que perdería dichos procesos abiertos si no los guardaba y aún así le día a apagar y NUNCA mi ordenador se apaga lento ya que tengo un Disco Duro SSD y cogí y lo apagué de mi botón de apagado y cuando lo he encendido esta mañana me ha salido el ordenador como si se me hubiese restaurado de fabrica pero conservando todos los programas que tengo instalados y voy Inicio, Configuración, Actualización y Seguridad, Seguridad de Windows, a la opción que dice: Abrir Seguridad de Windows y me sale esta notificación: "Necesitas una aplicación nueva para abrir este vinculo a windowsdefender tal y como se refleja en esta pantalla:

capturada

También he intentado realizar una restauración de Sistema a un Punto Anterior y me dale la siguiente ventana:

capturada2

Le he dado a la opción que pone: Ejecutar Restaurar sistema y se realiza el proceso pero me sale la misma ventana.

En cuanto a mis programas de seguridad son los siguientes:

Eset Smart Security Premium (Licencia Original Comprada por mi)

MalwareByte AntimalwareByte: (Versión Gratuita)

RogueKiller (Licencia Original Comprada por mi)

Le he pasado los siguientes programas: (Todos estos son programas originales descargados de la página oficial)

Programa 1: MalwareByte Antimalware (Tengo la versión gratuita)

Programa 2: Eset Smart Security Premium (Licencia Original Comprada)

Programa 3: RogueKiller (Licencia Original Comprada)

Te mando los Reportes de los programas que le he pasado:

Programa 1: MalwareBte AntimalwareByte (No me ha detectado Amenazas)

Programa 2: RogueKiller (Me encontró 2 amenazas y las he eliminado)

Programa 3: Eset Smart Security Premium (Al ser con licencia original y comprado por mi, no me ha generado Informe pero no me ha detectado ninguna infección)

Infome MalwareByte AntimalwareByte.txt (1,5 KB)

Informe RogueKiller.txt (1,7 KB)

Tambien cuando intento accder a la siguiente hubicación: Inicio; Configuración; Actualización y seguridad; Seguridad de windows; Abrir seguridad de windows me sale lo siguiente; “Necesitas una aplicación nueva para abrir este vinculo a windowsefender” me sale dicha ventana:

capturada1

Como observación si creo un simple block de Notas en el Escritorio y después reinico mi ordenador desaparece el block de notas que he creado y me aparece el escritorio de mi ordenador con los parámetros restablecidos de fábrica incluso si abro el Google Chrome me aparece para que lo configure de nuevo con los parámetros restablecidos.

También me gustaría si le podemos pasar el programa: Farbar Recovery Scan Tool ya que yo no estoy familiarizado con dicho programa para a ver si me puedes solucionar dicho problema de infección.

Por si me puedes ayudar a desinfectar mi portátil porque no se que más hacer.

1 me gusta

Hola @chicloi, te doy un aporte por si acaso te sirviera.

Justo hoy he tenido un problema muy parecido, he arrancado y estaba Windows como si lo acabase de instalar, junto a un “No pudimos iniciar sesión con tu cuenta de usuario”. No sé si será tu problema, el mio ha sido Windows Update, ayer lo apagué actualizando y hoy ha pasado eso. Reiniciar no me funcionaba, sin embargo, le di a cerrar sesión y, al iniciar de nuevo con mi cuenta, ya estaba todo bien. Prueba por si acaso es el mismo problema.

Saludos.

2 Me gusta

He realizado lo que me has comentado y “NO” me ha funcionado, de hecho como observación te comento que he creado una “Carpeta Nueva” en el Escritorio de mi portátil y un “Block de Notas” en dicho Escritorio, luego Reinicio mi Portátil y cuando se reinicia e inicio sesión la Nueva carpeta que he creado y el Block de Notas que he creado han desaparecido de mi Escritorio como por arte de magia pero lo curioso es que tengo todos los iconos de mis programas en los accesos directos de mi portátil, pero abro el Navegador Google Chrome y me sale que tengo que volver a configurar dicho navegador de nuevo como se refleja en la siguiente pantalla:

También me sale esta notificación como se refleja en esta pantalla:

capturada2

De hecho tenía Desinstalado el programa: Microsoft One Drive de mi portátil mucho antes de que me diera dicho problema en mi portátil y me vuelve a aparecer de nuevo instalado en el Icono de la barra de tareas de mi portátil como se refleja en la siguiente pantalla, (Que es el símbolo que aparece en la barra de tareas de “Microsoft One Drive”):

capturada3

Si abro cualquier programa de mi ordenador me pide que configure de nuevo dicho programa ya que me aparece con los parámetros restablecidos.

También me sale la siguiente pantalla:

Necesito tu ayuda compañero.

Hola, buenas @chicloi

Al rescate voy.

Respecto lo que ha detectado RogueKiller no son infecciones muy importantes, pero son de tipo Adware. Más concretamente la:

%SystemDrive%\Users\josel\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00415b

Es un Adware, más concretamente él: Adware.Ghokswa para más información: Adware.Ghokswa - Malwarebytes Labs | Malwarebytes Labs | Detections

Y la otra línea estoy casi seguro de que es el mismo Adware.

Extraño esto que comentas.

OK. Primero debemos de encontrar exactamente la causa de todo, es decir, saber donde estamos y después ir a atacarlo.

Descartemos de que no haya infecciones y cosas escondidas. NO CONECTES EN ESTE PARTICULAR CASO NINGÚN TIPO DE DISPOSITIVO DE ALMACENAMIENTO EXTERNO NI NADA. ANTES DE EMPEZAR, SI PUEDES TENER LA MÁQUINA CONECTADA A LA RED (para las actualizaciones de la BBDD de MBAR) PERO AISLADA DEL RESTO, PUES MEJOR. O CREAS UNA VLAN SOLO PARA ESA MÁQUINA O QUITAS EL RESTO DE MÁQUINAS DE LA RED.

También desconecta OneDrive o cualquier cosa que tengas de sincronización de la nube (si tienes).

Antes de empezar con la magia negra, quiero que hagas el siguiente procedimiento al pie de la letra:

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Inicia de nuevo el equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

Realizas lo siguiente:

  1. Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual.

  2. Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

  3. Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

    • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

    1. Analizar objetos en memoria

    2. Analizar configuracion de inicio y registro

    3. Analizar dentro de los archivos

    • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
    • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

EN TU PRÓXIMA RESPUESTA

  • Respondes a las preguntas que te haya realizado.
  • Traes los reportes de Malwarebytes Anti-Rootkit, TDSKiller y Malwarebytes.
  • Comentas el estado en general del ordenador respecto al problema inicial planteado.

Salu2.

2 Me gusta

Buenas Marr0n, aquí te envío dichos Reportes que me has solicitado y lo he realizado al pie de la letra tal cual como me has puesto en dicho Manual de Uso.

Informe Rkill:

informe Rkill.txt (1,8 KB)

Informe Malwarebytes Anti-Rootkit:

mbar-log-2021-07-09 (05-29-27).txt (2,1 KB)

system-log.txt (111,4 KB)

Informe TDSKiller:

inf tdss.txt (88,2 KB)

Informe Malwarebytes:

informe malwarebyte2.txt (1,5 KB)

Comentarte que mi portátil sigue con el mismo problema que te comente.

1 me gusta

Cual es el siguiente paso a seguir. Es que todavía sigo con el mismo problema.

Hola buenas compañero @chicloi

Disculpa que haya tardado en responder, pues voy muy justo y supermal de tiempo. Lo siguiente es:

EN BUSCA / ELIMINACIÓN DE MALWARE

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

P.D.: @chicloi si tardo en responder que no te extrañe, voy con muy poco tiempo y es normal. Pero seguiremos el caso hasta el final.

1 me gusta

Hola, buenas @chicloi

¿Pudiste lanzar FRST?

Salu2.

3 Me gusta

Aquí te paso los Informes del FRST:

Addition.txt (47,9 KB) FRST.txt (58,6 KB)

Comentarte que tengo 2 Discos Duros Internos instalados en mi portátil donde tengo el Disco Duro SSD como principal del Sistema Operativo y otro Disco Duro HDD interno sólo como almacenamiento instalado en mi portátil.

Como información adicional te comunico que tengo los siguientes Sistemas de Seguridad instalados en mi portátil y que son descargados de la Página Oficial y con una Licencia Original comprada por mi:

Antivirus: Eset Smart Security Premium (Descargado de la Página Oficial y Licencia Original comprada por mi y activado todos los módulos de protección en Tiempo Real).

Antitroyanos: RogueKiller Premium (Descargado de la Página Oficial y Licencia Original comprada por mi y activado todos los módulos de protección en Tiempo Real).

Antitroyanos: MalwareByte AntimalwareByte (Descargado de la Página Oficial y Licencia Gratuita)

Programa: Acronis True Image 2020 (Descargado de la página oficial y Licencia Original comprada por mi y activado la protección contra Ransomware en Tiempo Real).

Comentarte que también tengo instalados los siguientes programas adicionales:

Programa de Grabación: Nero Platinum Suite 2020 (Descargado de la Página Oficial y con Licencia Original Comprada por mi).

Programa: AnyDVD (Descargado de la Página Oficial y con Licencia Original comprada por mi).

Acelerador de Descargas: Internet Download Manager (Descargado de la Página Oficial y con la Licencia Original comprada por mi)

Limpiador y Optimizador: Ccleaner (Descargado de la Página Oficial y con licencia gratuita).

Limpiador y Optimizador: Glary Utilities 5 (Descargado de la Página Oficial y con licencia Gratuita).

También suelo tener Otros Programas como el:

-. Adobe Acrobat

-. Office Word 2016

-. Master PDF Editor

-. Nitro Pro.

Te comento todo esto para antes de realizar el Script ya que no quiero perder todos los programas que te he comentado anteriormente ya que quiero que sigan funcionando correctamente después de que me realices el Script.

1 me gusta

Realicé los pasos que me comentaste al pie de la letra.

A la espera de tu respuesta.

1 me gusta

Hola, buenas @chicloi.

Disculpa que tardase en responder.

Yo ahora ya ando con más tiempo, así que mis respuestas en el foro serán más rápidas. Reviso los logs y a lo largo del día de hoy te doy respuesta.

Salu2.

1 me gusta

Muchas gracias compañero. Quedo a la espera de tu respuesta.

Cual es el siguiente paso a seguir. A la espera de tu respuesta.

Hola, buenas @chicloi

Disculpa que haya tardado en responder y que mis respuestas no hayan sido rápidas. Pues por desgracia se me ha complicado la vida otra vez y bueno ahora tendré algo más de tiempo. Pero no tanto como pensaba que sí que tendría.

Los analizo y en breves te pongo el Script.

Salu2.

1 me gusta

Muchas gracias compañero, no te preocupes, a veces la vida se complica sin previo aviso. Agradezco mucho tu ayuda y por ello espero tu respuesta.

1 me gusta

Hola, buenas @chicloi disculpa que haya tardado en responder. Pues estoy teniendo unos días muy ajetreados, con bastante poco tiempo.

Muchas gracias por tus buenas palabras.

De todas formas como han pasado unos cuantos días respecto a los logs de FRST que me trajiste correctamente en su momento, quiero ver reportes frescos de FRST. Así que ahora lo ejecutaras de nuevo de la siguiente forma:

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa esta vez deberás de tener en cuenta en que debes de marcar la casilla de 90 Days Files o Archivos 90 días, según el idioma.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Hola, buenas @chicloi

Cuando puedas, lanzas FRST y traes lo solicitado. Y seguimos.

Salu2.

2 Me gusta

Te lo mando en breve. Muchas gracias

1 me gusta

Hola, buenas @chicloi.

De nada.

Cuando puedas, lo subes y lo miramos.

Salu2.

1 me gusta