Ransomware extensión aawt

Buenas tardes:

El sábado 17 al descargar un programa vi que al poco tiempo tenía archivos cifrados con la extensión .aawt, busqué y vi que es un ransomware de tip stop (djvu). Aparentemente ya eliminé el virus. Pasé el spy hunter 5, malwarebytes, kasperky, avast y eliminé los rastros en el registro, pero por más que busco no puedo revertir el cifrado. La herramienta de Emsisoft indica que es imposible desencriptar. Lo único que me había funcionado y con lo que pude desencriptar algunos archivos fue el programa shadow explorer, ya que me detectaba un punto de restauración anterior a la infección, pero llegó un punto donde se cerró el programa y ya no apareció ese punto de restauración. En la búsqueda de opciones sólo veo programas para desencriptar pero de pago, y me quedo con la duda de si me servirán o no, como que pagar para que no me sirvan me deja con dudas

Hola, buenas @Efrain_Gonzalez_Cruz bienvenido al foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

Una vez aclarado este punto, voy a intentar ayudarle pero antes necesito que me responda a algunas preguntas:

¿Te has descargado e instalado algún programa en tu ordenador de alguna página poco fiable? En caso afirmativo dígame el Nombre del Programa que se ha descargado e instalado.

¿Desde cuando te está pasando dicho problema que me comentas en tu ordenador?

¿Descríbame todos los síntomas que tiene su ordenador?

Quedo a la espera de su respuesta!

1.- La verdad es que sí entré da un sitio poco seguro 2.- ocurrió el sábado pasado como a las 5:30 de la tarde 3.- lo que tenía es que se agregó la extensión.aawt a todos mis archivos

La parte de eliminacion del virus aparentemente ya quedó, pero la mayoría de mis archivos siguen encriptados. Los que recuperé fue con la herramienta shadow Explorer, pero ya no me es útil porque dejó de aparecer el punto de restauración que me era útil, ahora solo aparecen puntos posteriores al ataque. Y la herramienta específica para stop (djvu) no lo descifra. Dice que es imposible. En alguna página leí que dependía sincera una clave interna o externa

Buenas @Efrain_Gonzalez_Cruz , le comento, la extensión .aawt es una familia DJVU de infecciones de tipo Ransomware. El Ransomware encripta archivos personales importantes (videos, fotos, documentos). Los archivos infectados se pueden rastrear mediante una extensión «.aawt» específica.*

Lo que se va a realizar en estos casos es en primer lugar eliminar dicha infección de su ordenador y seguidamente intentar desencriptar los archivos para que puedan volver a su estado normal.

Le comento, que eliminar dicha infección es una tarea fácil pero que requiere de la realización de diversos procedimientos con lo cual se puede demorar bastante la reparación de su ordenador por los diferentes Procesos de Análisis que se le deben de realizar a su ordenador debido a los diferentes programas que se le deben de realizar en dicho procedimiento.

Lo que no se se sabe con seguridad es si dichos archivos que hayan sido encriptados en su ordenador se van a poder poner a su estado normal ya que muchas veces la llave de encriptación no puede encontrarse disponible con lo cual no se sabe cuando pueda estar disponible, pero aún así voy a intentar poder desencriptarle dichos archivos de su ordenador.

Si usted es consciente de que su reparación puede llevarle varios días en finalizar y con lo que le he comentado previamente, y desea que sigamos adelante con su reparación de su ordenador me lo comunica por aquí.

Le hago una pregunta, @Efrain_Gonzalez_Cruz, una vez explicado dichos procedimientos que se le van a realizar a su ordenador, ¿Desea que sigamos adelante con su reparación de su ordenador por el cual ha abierto este foro o desea que dejemos su reparación aquí?

Quedo a la espera de su respuesta!

Me gustaría que siguieramos adelante. Lo importante es que pueda recuperar los archivos. Gracias

Perfecto entonces! Siga los siguientes pasos:

IMPORTANTE:

PASALE CADA PROGRAMA POR SEPARADO Y HASTA QUE NO ACABE EL PRIMER PROGRAMA DE ANALIZAR POR COMPLETO, SIGUIENDO LAS INDICACIONES DADAS Y SU MANUAL DE USO QUE LE DEJO JUNTO AL PROGRAMA, NO LE PASES EL SIGUIENTE Y ASÍ CON EL RESTO DE PROGRAMA.

QUE SU ORDENADOR NO SE PONGA EN ESTADO DE SUSPENSIÓN DURANTE TODO EL PROCESO DE ANALISIS QUE SE LE VAN A REALIZAR CON LOS DIFERENTES PROGRAMAS QUE SE LE INDIQUEN EN ESTE FORO, ES DECIR, QUE SU ORDENADOR NO SE APAGUE LA PANTALLA YA QUE PODRÍA INTERFERIR EN EL PROCESO DE ANALISIS Y NO ELIMINARSE CORRECTAMENTE LAS INFECCIONES Y VIRUS QUE ENCUENTRE.

SI ALGÚN PROGRAMA DE LOS QUE SE LE DIGA EN ESTE FORO YA LOS TUVIERA INSTALADO EN SU ORDENADOR, NO HACE FALTA QUE LO INSTALE DE NUEVO, SIMPLEMENTE SIGA SU MANUAL DE USO QUE SE LE DEJA JUNTO AL PROGRAMA.

SI ALGÚN PROGRAMA DE LOS QUE SE LE INDIQUEN EN ESTE FORO LE PIDE REINIICAR! PUES REINICIE PERO SÓLO SI SE LO SOLICITA DICHO PROGRAMA.

capturada4760×246 56 KB

Una vez aclarado todo esto, realice lo siguiente:

EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc)

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Descarga, Instala, y ejecuta: Malwarebytes. Aquí le dejo la Url de Descarga del MalwareBytes, para que sepas cómo descargarlo y poder instalarlo: MalwareBytes. Aquí le dejo su Manual de Uso del MalwareBytes, para que sepas cómo utilizar el programa y configurarlo correctamente: Manual de Malwarebytes.

• Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

4. NO activar la opción que pone:

   

• (Si dicha opción está activada muy probablemente se produzca una lentitud en el Proceso de Análisis que tarde muchas horas en realizar el Análisis Personalizado del MalwareBytes. (Pues esta puede hacer que el programa se cuelgue y no finalice el análisis o hacer que este tarde muchísimo.)

• Finalizado el Proceso de Análisis por completo, si encuentra Amenazas Pulsar en Cuarentena para enviar las infecciones a la cuarentena y si el programa te pide que reinicies, procedes! pero SÓLO si te lo solicita dicho programa.)

Finalizado el Proceso de Análisis completo me manda una Captura de Pantalla con todo lo que se refleje!

• Para acceder posteriormente al Informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el Informe en tu próxima respuesta.

Para poder enviarme el Informe correctamente que le solicito en este foro abra la siguiente Url que le dejo a continuación y siga los pasos que se le indican:

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

Descarga, Instala, y ejecuta: Eset Online Scaner. Aquí le dejo la Url de Descarga del Eset Online Scaner, para que sepa cómo descargar e instalar el programa correctamente: Eset Online Scaner. Aquí le dejo su Manual de Uso del Eset Online Scaner, para que sepa cómo utilizar el programa y configurarlo correctamente: Manual de Eset Online Scaner. (IMPORTANTE: Elimine TODO lo que encuentre! y NO restaure NADA).

Para poder enviarme el Informe correctamente que le solicito en este foro abra la siguiente Url que le dejo a continuación y siga los pasos que se le indican:

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

Aquí van los informes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 19/9/22
Hora del análisis: 22:14
Archivo de registro: 5a843c76-3892-11ed-af27-c8d3ff75bdb7.json

-Información del software-
Versión: 4.5.14.210
Versión de los componentes: 1.0.1767
Versión del paquete de actualización: 1.0.60289
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19043.2006)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-LKQ5EEQK\h_shi

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 285541
Amenazas detectadas: 3
Amenazas en cuarentena: 0
Tiempo transcurrido: 8 min, 58 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 3
Malware.AI.3965633551, C:\$RECYCLE.BIN\S-1-5-21-2871810621-3809100329-3065198504-1001\$RDK0S2M.AAWT, Sin acciones por parte del usuario, 1000000, -329333745, 1.0.60289, 015B010F5CA96098EC5EC40F, dds, 01955653, 9368600E72E0383B19F395A5529F82A6, 3E4216EC93E7AFFBEFA9F97C62EA55F4FFF5872DB9062D1BFEA38A12B3FDCC15
Malware.AI.4263153045, C:\USERS\H_SHI\APPDATA\ROAMING\Microsoft\Windows\Recent\Reparar Ficheros.lnk, Sin acciones por parte del usuario, 1000000, -31814251, , , , , 45C446F1EA58751284AFCA5DD7535D28, E38A34B75F6C9099B62C2B20E840DD668CB9826EDBDDDBBDCF789B604B726419
Malware.AI.4263153045, C:\USERS\H_SHI\DESKTOP\REPARAR FICHEROS.RAR, Sin acciones por parte del usuario, 1000000, -31814251, 1.0.60289, F656A2487FCF56EAFE1A8D95, dds, 01955653, EFBAE1941AB647166A5BF61CC4F8C0A0, BA4E201310CB86A7E8700339CACC772E824A3B4D994265C7C040A4F54CC5FC3B

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

ESET

21/09/2022 08:20:04 a. m.
Archivos explorados: 398315
Archivos detectados: 122
Archivos desinfectados: 122
Tiempo total de exploración 04:30:42
Estado de la exploración: Finalizado
C:\SWSetup\sp75531\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp75977\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp78174\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp78310\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp79095\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp79320\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp79421\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp80223\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp80964\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp81032\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp81254\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp81314\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp81404\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp82019\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp82129\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp82196\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp82197\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\SP82221\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\SP82717\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\SP82801\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\SP83855\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp83955\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\SP85302\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp85413\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\SP85463\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp86704\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp87076\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp87207\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp87762\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp88257\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp98235\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sp99490\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\sw_ver\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SWSetup\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SYSTEM.SAV\CONFIG\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SYSTEM.SAV\Flags\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SYSTEM.SAV\logs\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SYSTEM.SAV\support\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SYSTEM.SAV\Util\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\SYSTEM.SAV\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\temp\Syncios WhatsApp Transfer\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\temp\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\Users\h_shi\Programs\Adblock\nheqminer.dll	una variante de Win64/CoinMiner.TO aplicación potencialmente no deseada	desinfectado por eliminación

C:\Users\h_shi\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\Windows.old\Users\h_shi\AppData\Local\Microsoft\Windows\INetCache\IE\HOBZDCIP\fsbm0909[1].exe	una variante de Win32/Packed.CAB.DS aplicación sospechosas	desinfectado por eliminación

C:\Windows.old\Users\h_shi\AppData\Local\VirtualStore\Program Files\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\Windows.old\Users\h_shi\AppData\Local\VirtualStore\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\anonymous\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\apache\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\cgi-bin\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\contrib\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\FileZillaFTP\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\htdocs\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\img\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\install\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\licenses\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\locale\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\mailoutput\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\mailtodisk\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\MercuryMail\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\moodledata\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\mysql\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\perl\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\php\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\phpMyAdmin\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\sendmail\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\src\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\tmp\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\tomcat\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\webalizer\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\webdav\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

C:\xampp\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\bg-bg\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\cs-cz\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\da-dk\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\de-de\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\el-gr\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\en-gb\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\en-us\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\es-es\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\es-mx\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\et-ee\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\fi-fi\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\Fonts\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\fr-ca\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\fr-fr\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\hr-hr\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\hu-hu\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\it-it\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\ja-jp\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\ko-kr\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\lt-lt\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\lv-lv\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\nb-no\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\nl-nl\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\pl-pl\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\pt-br\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\pt-pt\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\Resources\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\ro-ro\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\ru-ru\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\sk-sk\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\sl-si\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\sr-latn-rs\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\sv-se\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\tr-tr\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\uk-ua\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\zh-cn\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\zh-hk\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\zh-tw\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Boot\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\EFI\Boot\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\EFI\Microsoft\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\EFI\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\preload\FactoryUpdate\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\preload\RM_PATCH\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\preload\RM_Reserve\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\preload\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Recovery\WindowsRE\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\Recovery\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\sources\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

D:\_readme.txt	MSIL/Filecoder.ANG troyano	eliminado

Buenas @Efrain_Gonzalez_Cruz, acabo de revisar los Informes de las Capturas de Pantalla que usted me ha enviado y debo decirle que el programa:

Eset Online Security ha encontrado Infecciones y Virus las ha eliminado automáticamente de su ordenador y está correctamente realizado el Proceso de Análisis y ha realizado correctamente su función.

En cuanto al Programa: MalwareBytes, se observa que usted le ha realizado un: Proceso de Análisis de ´´Amenazas´´ y yo le he comentado en las indicaciones de este foro que le realizara usted un: PROCESO DE ANÁLSIS ´´PERSONALIZADO´´.

También se observa en el Informe que usted me ha mandado del programa: MalwareBytes que ha encontrado: ´´3 Amenazas detectadas´´ y se refleja en dicho Informe que pone lo siguiente:

´´Sin acciones por parte del usuario´´ por lo tanto usted NO ha eliminado los Virus e Infecciones de su ordenador.

Resumen:

Repita usted de nuevo el Proceso de Análisis del Programa: MalwareBytes realizándole un: Proceso de Análisis ´´PERSONALIZADO´´ siguiendo el: Manual de Uso que le he dejado junto al programa en este foro y NO interrumpa el programa y finalizado el Proceso de Análisis Completo un click en la opción que pone: ´´CUARENTENA´´ y me manda usted el Informe que haya generado el programa: MalwareBytes reflejando las Infecciones y Virus que haya eliminado dicho programa.

Nota Importante:

Si durante el Proceso de Desinfección de la eliminación de los Virus e Infecciones que encuentre el programa: MalwareBytes le solicita que debe de reiniciar procedes! pero sólo si se lo solicita dicho programa.

Me manda usted el Informe que genere el programa: MalwareBytes que le solicito en este foro siguiendo los siguientes pasos que le indico a continuación:

Para poder enviarme el Informe correctamente que le solicito en este foro abra la siguiente Url que le dejo a continuación y siga los pasos que se le indican:

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

Buenas noches: Hice lo que me indicó

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 23/9/22
Hora del análisis: 18:53
Archivo de registro: fc97d0f8-3b9a-11ed-ba78-c8d3ff75bdb7.json

-Información del software-
Versión: 4.5.14.210
Versión de los componentes: 1.0.1767
Versión del paquete de actualización: 1.0.60377
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19043.2006)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-LKQ5EEQK\h_shi

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 512045
Amenazas detectadas: 12
Amenazas en cuarentena: 12
Tiempo transcurrido: 1 hr, 47 min, 38 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 12
Malware.AI.3682345196, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\3VTXX34V5MZYTD9Y5W4OVTUK.EXE.AAWT, En cuarentena, 1000000, -612622100, 1.0.60377, 8341C1239E86028ADB7C20EC, dds, 01961053, 657955D321E7B2A5F39B30DD61B8880E, D3B8A57B1699FE4C0D525D9E10388370D966ECCE084820982D51607E0F386959
Malware.AI.3538565879, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\2CVL5D82XABMT8RXPRITNDIM.EXE.AAWT, En cuarentena, 1000000, -756401417, 1.0.60377, 56B4FD5E48489FB0D2EA3AF7, dds, 01961053, EE52D9568EF4726815796148FB8A27A6, 2806932793CEA03888C9DE097D59C6DBD92672D4495C5FCD5DDD0CD379DC1F51
Malware.AI.29532214, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\9S6LOBCHSC3GSQPCWFKV6A0Z.EXE.AAWT, En cuarentena, 1000000, 29532214, 1.0.60377, 7904BEAF9F22BAC401C2A036, dds, 01961053, 64606647335CE8E9E50DBAD42A12BB12, 4B153AF1732132A0455180BA5D27B63D064DFB6B7EFC98CD035806CF0F59FB15
Malware.AI.4254040940, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\7HOMG4WD43EPO_BQW87SQZOD.EXE.AAWT, En cuarentena, 1000000, -40926356, 1.0.60377, CB4A51C3EE629DEEFD8F836C, dds, 01961053, C247322712E7D17EF227ED251D9548C4, 5532E9F86484681BC018A68E266F40F7EDB798F71DF8A34F2DA0594846D9C6E1
Malware.AI.4261109399, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\JLRTN9D4MF09WMAF743CUXXL.EXE.AAWT, En cuarentena, 1000000, -33857897, 1.0.60377, 465E2D1FC953E080FDFB5E97, dds, 01961053, E39E1C651FFE2BAEBADE423DDBEECEF6, B4599C479B524047437EC81F953E7D2B840C4EABDF20DDD30B86971F74494FA2
Malware.AI.4288797251, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\DHHPXDIM1T2HE4BA6GXFKYPS.EXE.AAWT, En cuarentena, 1000000, -6170045, 1.0.60377, C83EA075FCB11758FFA1DA43, dds, 01961053, 5A4BD45601ADE49B5B23A31A61818767, 3E9291B3235A1CCE05CB2B5ABEC1550B358E9CE4F176ED9934160805C2AEAA38
Malware.AI.3538565879, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\JGGEVI4BNQG8FEKJXIB0TGGO.EXE.AAWT, En cuarentena, 1000000, -756401417, 1.0.60377, 56B4FD5E48489FB0D2EA3AF7, dds, 01961053, 2B1E9F06F55651E39469ADFB38149D53, 60DB9C89E53CD66B52CD4E809C133916BE33ACDE5BE0E6DAD1C07613226DA551
Malware.AI.4043926509, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\FYBDNLT3RV30AICE_CZ_D57_.EXE.AAWT, En cuarentena, 1000000, -251040787, 1.0.60377, CC3E66680B1CCF1AF1096BED, dds, 01961053, 6AF2F792A9A49A6134C189875E00301C, 92CBABB0C1C8EE54ADDD88B44674BFB9143A13159329A92AC248E821BC00BB41
Malware.AI.1908807686, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\KEFQ93UVNBBFWOGQS4X7CJCG.EXE.AAWT, En cuarentena, 1000000, 1908807686, 1.0.60377, 52DA8FAB58AEE0C671C61806, dds, 01961053, A872D0701BC67059A3A72D1639A805C4, D4303AD63BFAE1BBA1753815C5D17255E26A3467DB3040026402A4530E845E21
Malware.AI.1874050648, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\PAN6LYSWK0NNFK5KXF32J6J4.EXE.AAWT, En cuarentena, 1000000, 1874050648, 1.0.60377, 9B0360652214A9AE6FB3BE58, dds, 01961053, 172E5B03F27AACC4D5969513F0A87A1E, 298C7517938047F7B7966C4BF5183C6710944F41F3DC27F61BC05C9214B7C125
Malware.AI.4285469090, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\ZAJX1LDIOHQ0JYEVKGGWMBJK.EXE.AAWT, En cuarentena, 1000000, -9498206, 1.0.60377, 904550C559869097FF6F11A2, dds, 01961053, 96A34CEC498F62DFE8F6A7E5340E7318, 0DDEA252519F01237714A9F9AC4F8054C0D61A4C18470DEF23B37C62BC4EFCCC
Malware.AI.1788330365, C:\USERS\H_SHI\ONEDRIVE\IMáGENES\MINOR POLICY\EBRHONPVMLJ_OHTFXG1AIOIN.EXE.AAWT, En cuarentena, 1000000, 1788330365, 1.0.60377, 61F711CC97F41D696A97C17D, dds, 01961053, AC0C4B0FFBE3CBB1EFD16E951A671429, 4BACBFF0283963204BEF13B4CB1ED448439506B778A4C1C27E81D8D0D98F9D02

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Realice estos pasos que le indico a continuación:

IMPORTANTE:

SIGA LAS INDICACIONES QUE SE LE INDIQUEN EN ESTE FORO JUNTO CON EL MANUAL DE USO QUE LE HE DEJADO JUNTO AL PROGRAMA .

QUE SU ORDENADOR NO SE PONGA EN ESTADO DE SUSPENSIÓN DURANTE TODO EL PROCESO DE ANALISIS QUE SE LE VAN A REALIZAR CON LOS DIFERENTES PROGRAMAS QUE SE LE INDIQUEN EN ESTE FORO, ES DECIR, QUE SU ORDENADOR NO SE APAGUE LA PANTALLA YA QUE PODRÍA INTERFERIR EN EL PROCESO DE ANALISIS Y NO ELIMINARSE CORRECTAMENTE LAS INFECCIONES Y VIRUS QUE ENCUENTRE.

SI ALGÚN PROGRAMA DE LOS QUE SE LE DIGA EN ESTE FORO YA LOS TUVIERA INSTALADO EN SU ORDENADOR, NO HACE FALTA QUE LO INSTALE DE NUEVO, SIMPLEMENTE SIGA SU MANUAL DE USO QUE SE LE DEJA JUNTO AL PROGRAMA.

SI DICHO PROGRAMA LE PIDE REINIICAR! PROCEDES! PERO SÓLO SI SE LO SOLICITA DICHO PROGRAMA.

. Realice los siguientes pasos:

. Descarga, Instala, y ejecuta: Dr.Web Cureit!. Aquí te dejo la Url de Descarga del: Dr.Web Cureit!, para que sepa cómo instalarlo y descargarlo correctamente: Dr.Web Cureit!. Aquí te dejo su: Manual de Uso del: Dr.Web Cureit!, para que sepa cómo utilizar el programa y configurarlo correctamente: Manual de Uso del Dr.Web Cureit!. (Elimine TODO lo que encuentre! y NO restaure NADA).

Finalizado el Proceso de Análisis completo me manda una Captura de Pantalla con todas las Infecciones y Amenazas que se refleje que haya eliminado dicho programa.

P.D: Para poder enviarme el Informe que genera el Dr.Web Cureit!, correctamente siga los siguientes pasos que se le indican a contunuación:

capturada744×452 49.1 KB

Para poder enviarme el Informe correctamente que le solicito abra la siguiente Url y siga los pasos que se le indican:

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

Reporte de Dr Web Cureit

Start curing
-----------------------------------------------------------------------------

C:\Users\h_shi\AppData\Local\Temp\is-30KLV.tmp\Driver.Booster.9.5.0.237.exe - quarantined
C:\Windows.old\Users\h_shi\AppData\Local\Microsoft\Windows\INetCache\IE\LE492DCK\911[1].bmp - quarantined

Total 160847169581 bytes in 429547 files scanned (558181 objects)
Total 429301 files (557656 objects) are clean
Total 2 files (103 objects) are infected
Total 2 files (52 objects) are neutralized
Total 413 files (416 objects) are raised error condition
Scan time is 03:25:36.247

Seguidamente, realice los siguientes pasos a seguir:

Descargue el programa de la siguiente Url: Le dejo “2 Url de Descarga” por si uno no le funciona el proceso de Instalación pueda probar con la segunda Url de Descarga:

Url descarga 1: RogueKiller x64 Bits

Url descarga 2: RogueKiller x82 Bits

Aquí le dejo su manual de RogueKiller para que sepas cómo utilizarlo y configurarlo correctamente:

Abra el programa: RogueKiller que ha descargado.

Clikea en la pestaña que pone: Analizar., click en donde pone: Análisis Completo (Full Scan). Nota: Si NO le deja realizar un Análisis Personalizado realice un Análisis Análisis Completo (Full Scan) (Tal y cómo se muestra en la imagen):

image691×378 45 KB

Automáticamente empezará el Proceso de Análisis en busca de Virus e Infecciones dejar que analice por completo y NO interrumpir el programa hasta que finalice en su totalidad. Finalizado el Proceso de Análisis por completo clickea en la pestaña que pone: Resultados: (Proceso tal y como se indica en la siguiente pantalla):

image691×374 52.2 KB

Una vez finalizado el Proceso de Análisis por completo, si encuentra AMENAZAS e INFECCIONES saldrá una pantalla similar a esta, clicka en la pestaña que pone: Resultados para poder eliminar dichas INFECCIONES. (Tal y como se muestra en esta pantalla):

image691×376 51.9 KB

Si le sale una pantalla similar a esta significa que el programa ha ELIMINADO con éxito TODAS las AMENAZAS e INFECCIONES de su ordenador. Clickea en la pestaña que pone: Resultados. (Tal y cómo se indica en esta página):

image691×377 46.6 KB

Para ELIMINAR las AMENAZAS e INFECCIONES clickea en la pestaña que pone: Eliminación. (Tal y como se muestra en esta pantalla):

image691×379 60 KB

Le aparecerá una pantalla similar a esta, dejar TODAS las opciones marcadas que te salgan a ti. Para ELIMINAR todas las INFECCIONES clikea en la pestaña que pone: Finalizar. (Tal y cómo se muestra en la pantalla):

image691×384 61.4 KB

Para enviarme el Informe que ha generado el programa cuando haya finalizado por completo de Analizar siga estos pasos que se reflejan a continuación:

image691×377 87.1 KB

image691×321 46 KB

Para poder enviarme el Informe que se le solicito en este foro abra la siguiente Url y siga los pasos que se le indican:

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

Informe Rogue Killer:

Program            : RogueKiller Anti-Malware
Version            : 15.6.1.0
x64                : Yes
Program Date       : Sep 13 2022
Location           : C:\Users\h_shi\Downloads\RogueKiller_portable64.exe
Premium            : No
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/download/roguekiller/
Operating System   : Windows 10 (10.0.19043) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : h_shi
User is Admin      : Yes
Date               : 2022/09/24 21:05:39
Type               : Removal
Aborted            : No
Scan Mode          : Standard
Duration           : 2816
Found items        : 5
Total scanned      : 62018
Signatures Version : 20220921_071356
Truesight Driver   : Yes
Updates Count      : 0

************************* Warnings *************************

************************* Removal *************************
[Suspicious.Path (Potencialmente Malicioso)] \Diagnostic\Service -- "C:\Users\h_shi\AppData\Roaming\ycoi\consev.exe" ("C:\Users\h_shi\AppData\Roaming\ycoi\consev.dat") -> Borrado
  [+] scan_what       : 0
  [+] vendors         : Suspicious.Path
  [+] Name            : \Diagnostic\Service
  [+] value           : "C:\Users\h_shi\AppData\Roaming\ycoi\consev.exe" ("C:\Users\h_shi\AppData\Roaming\ycoi\consev.dat")
  [+] Type            : Task
  [+] file_vtscore    : -1
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 0
  [+] status          : 3
  [+] status_str      : Borrado
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : -1

[Tr.Gen (Malicioso)] found.000 -- %SystemDrive%\found.000 -> Borrado
  [+] scan_what       : 1
  [+] vendors         : Tr.Gen
  [+] Name            : found.000
  [+] value           : %SystemDrive%\found.000
  [+] Type            : File/Folder
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 1
  [+] status          : 3
  [+] status_str      : Borrado
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[Tr.Gen (Malicioso)] SystemID -- %SystemDrive%\SystemID -> Borrado
  [+] scan_what       : 1
  [+] vendors         : Tr.Gen
  [+] Name            : SystemID
  [+] value           : %SystemDrive%\SystemID
  [+] Type            : File/Folder
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 2
  [+] status          : 3
  [+] status_str      : Borrado
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[Tr.Gen (Malicioso)] PersonalID.lnk -- %_h_shi_appdata%\Microsoft\Windows\Recent\PersonalID.lnk (lnk => C:\SystemID\PERSON~1.TXT []) -> Borrado
  [+] scan_what       : 1
  [+] vendors         : Tr.Gen
  [+] Name            : PersonalID.lnk
  [+] value           : %_h_shi_appdata%\Microsoft\Windows\Recent\PersonalID.lnk (lnk => C:\SystemID\PERSON~1.TXT [])
  [+] Type            : File/Folder
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 3
  [+] status          : 3
  [+] status_str      : Borrado
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

[PUP.Avanquest (Potencialmente Malicioso)] $RP38HTD.lnk -- %SystemDrive%\$Recycle.Bin\S-1-5-21-2871810621-3809100329-3065198504-1001\$RP38HTD.lnk (lnk => C:\Program Files (x86)\PC HelpSoft Driver Updater\PCHelpSoftDriverUpdater.exe []) -> Borrado
  [+] scan_what       : 1
  [+] vendors         : PUP.Avanquest
  [+] Name            : $RP38HTD.lnk
  [+] value           : %SystemDrive%\$Recycle.Bin\S-1-5-21-2871810621-3809100329-3065198504-1001\$RP38HTD.lnk (lnk => C:\Program Files (x86)\PC HelpSoft Driver Updater\PCHelpSoftDriverUpdater.exe [])
  [+] Type            : File/Folder
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 4
  [+] status          : 3
  [+] status_str      : Borrado
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0

Realice los siguientes pasos que le indico a continuación:

IMPORTANTE:

capturada4760×246 56 KB

IMPORTANTE:

PASELE CADA PROGRAMA POR SEPARADO, ES DECIR, PASALE EL PRIMER PROGRAMA Y UNA VEZ QUE HAYA REALIZADO POR COMPLETO EL PROCESO DE ANALISIS Y SIGUIENDO SU MANUAL, PASELE EL SEGUNDO PROGRAMA Y ASÍ CON EL RESTO DE PROGRAMAS.

RESPETE EL ORDEN DE LOS PROGRAMAS EN DICHO PROCESO DE ANALISIS.

SI ALGÚN PROGRAMA LE PIDE REINICIAR, REINICIAS PERO SOLO SI SE LO SOLICITA EL PROGRAMA.

Aclarado esto, realice lo siguiente:

Descargue, instale y ejecute el siguiente programa: Kaspersky Virus Removal Tool. A continuación, le dejo la Url de Descarga del programa: Kaspersky Virus Removal Tool, para que pueda ejecutar e instalar el programa correctamente y su Manual del: Kaspersky Virus Removal Tool, para que sepas cómo utilizarlo y configurarlo correctamente:

. . Url de Descarga del: Kaspersky Virus Removal Tool, para que pueda ejecutar e instalar el programa correctamente: Kaspersky Virus Removal Tool.

. . Manual del: Kaspersky Virus Removal Tool, para que sepas cómo utilizarlo y configurarlo correctamente: Manual del Kaspersky Virus Removal Tool. (IMPOTANTE: Elimine TODAS las amenazas e infecciones que encuentre y NO restaure NADA).

. . Siga su Manual al pie de la letra y me manda una Captura de Pantalla reflejando todas las Infecciones y Virus que refleje que se hayan eliminado y me manda también el Informe con todas las Infecciones y Virus que refleje que haya eliminado.

Quedo a la espera de su respuesta!

Reporte Kaspersky: Perdonde, tengo la captura de pantalla del informe pero no sé si la agregué correctamente

11:28:56.805 Scan                                                          Started
12:45:51.800 Detect C:\Users\h_shi\AppData\Roaming\ycoi\consev.dat         HEUR:Trojan.Script.SelfDel.gen
14:14:05.566 Scan                                                          Finished
14:28:41.194 Select action C:\Users\h_shi\AppData\Roaming\ycoi\consev.dat
14:28:41.210 Disinfection                                                  Started
14:28:41.260 Quarantined C:\Users\h_shi\AppData\Roaming\ycoi\consev.dat
14:28:41.260 Deleted C:\Users\h_shi\AppData\Roaming\ycoi\consev.dat
14:28:41.494 Disinfection                                                  Finished

Kaspersky1361×767 81.5 KB

En respuesta a su pregunta @Efrain_Gonzalez_Cruz, la Captura de Pantalla del Reporte del: Kaspersky Virus Removal Tool está correctamente realizado y la ha agregado correctamente y el Proceso de Análisis está correctamente realizado y el programa ha realizado correctamente su función.

Ahora, realice los siguientes pasos:

IMPORTANTE:

PASALE CADA PROGRAMA POR SEPARADO Y HASTA QUE NO ACABE EL PRIMER PROGRAMA DE ANALIZAR POR COMPLETO, SIGUIENDO LAS INDICACIONES DADAS, NO LE PASE EL SIGUIENTE Y ASÍ CON EL RESTO DE PROGRAMAS.

DURANTE TODO EL PROCESO DE DESINFECCIÓN DE SU ORDENADOR, QUE NO SE APAGUE LA PANTALLA, ES DECIR, QUE SU PANTALLA NO SE PONGA EN ESTADO DE SUSPENSION YA QUE PUEDE INTERRUMPIRSE EL PROCESO DE DESINFECCIÓN DE SU ORDENADOR Y NO ELIMINAR LAS AMENAZAS E INFECCIONES QUE ENCUENTRE.

SI LOS PROGRAMAS QUE SE LE INDIQUEN EN ESTE FORO QUE SE LE PASEN A SU ORDENADOR YA LOS TUVIERA INSTALADOS, NO HACE FALTA QUE LOS INSTALE DE NUEVO, SIMPLEMENTE EJECUTE EL PROGRAMA QUE SE LE INDIQUE EN ESTE FORO Y SIGA LAS INDICACINES Y EL MANUAL QUE SE LE DEJA JUNTO AL PROGRAMA.

SI ALGUNO DE LOS PROGRAMA DE LOS QUE SE LE INDIQUE EN ESTE FORO, UNA VEZ FINALIZADO EL PROCESO DE ANALISIS, LE INDICA QUE DEBE REINICIAR! PUES REINICIE, PERO SÓLO SI SE LO INDICA DICHO PROGRAMA.

capturada4760×246 56 KB

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores y realice los siguientes pasos:

Descargue, Instale y ejecute el siguiente programa: MalwareBytes Anti-Rootkit Beta. A continuación, le dejo la Url de Descarga del programa: MalwareBytes Anti-Rootkit Beta, para que sepas cómo descargarlo e instalarlo correctamente y su Manual de Uso del: MalwareBytes Anti-Rootkit Beta, para que sepas cómo utilizarlo y configurarlo correctamente:

. . Url de Descarga del: MalwareBytes Anti-Rootkit Beta, para que sepas cómo descargarlo e instalarlo correctamente: MalwareBytes Anti-Rootkit Beta.

. . Manual de Uso del: MalwareBytes Anti-Rootkit Beta, para que sepas cómo utilizarlo y configurarlo correctamente: Manual de Uso del MalwareBytes Anti-Rootkit Beta (IMPORTANTE: Elimine TODAS las amenazas e infecciones que encuentre y NO restaure NADA).

Nota importante:

Dejar que finalice el Proceso de Análisis completo y NO interrumpirlo.

Si durante el Proceso de Análisis de desinfección de las Infecciones y Virus el programa le solicita reiniciar procedes! pero sólo si se lo solicita el programa.

Finalizado el Proceso de Análisis completo me manda una Captura de Pantalla con todas las Infecciones y Virus que se refleje que haya eliminado el programa.

. . Siga su Manual de Uso del: MalwareBytes Anti-Rootkit Beta al pie de la letra y me manda una Captura de Pantalla con todas las amenazas e infecciones que se refleje que haya eliminado el programa.

Quedo a la espera de su respuesta!

Reporte MalwareBytes:

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2022.09.25.02
  rootkit: v2022.09.25.02

Windows 10 x64 NTFS
Internet Explorer 11.789.19041.0
h_shi :: LAPTOP-LKQ5EEQK [administrator]

25/09/2022 06:10:35 p. m.
mbar-log-2022-09-25 (18-10-35).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 165755
Time elapsed: 59 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Ahora, realice los siguientes pasos:

IMPORTANTE:

PASELE CADA PROGRAMA POR SEPARADO, ES DECIR, PASALE EL PRIMER PROGRAMA Y UNA VEZ QUE HAYA REALIZADO POR COMPLETO EL PROCESO DE ANALISIS Y SIGUIENDO SU MANUAL, PASELE EL SEGUNDO PROGRAMA Y ASÍ CON EL RESTO DE PROGRAMAS.

RESPETE EL ORDEN DE LOS PROGRAMAS EN DICHO PROCESO DE ANALISIS.

SI ALGÚN PROGRAMA LE PIDE REINICIAR, REINICIAS PERO SOLO SI SE LO SOLICITA EL PROGRAMA.

IMPORTANTE:

capturada4760×246 56 KB

Aclarado esto, realice lo siguiente:

Descargue, Instale y ejecute el siguiente programa: TDSSKiller. A continuación, le dejo la Url de Descarga del programa TDSSKiller, para que pueda ejecutar e instalar el programa correctamente y su Manual del TDSSKiller, para que sepas cómo utilizarlo y configurarlo correctamente:

. . Url del Descarga del: TDSSKiller, para que pueda ejecutar e instalar el programa correctamente: TDSSKiller.

. . Manual del: TDSSKiller, para que sepas cómo utilizarlo y configurarlo correctamente: Manual del TDSSKiller. (IMPORTANTE: Elimine TODAS las amenazas e infecciones que refleje que encuentre dicho programa y NO restaure NADA).

ACLARACIÓN:

Una vez acceda al Manual de Uso del TDSSKiller deje marcadas (habilitte) en dicho programa todas estas casillas que se reflejan a continuación:

Si te pide que debe de reiniciar dicho programa procedes!

Seguidamente, siga el resto de pasos que se le indican en dicho Manual de Uso del TDSSKiller.

Nota importante!

. . Siga su manual al pie de la letra y las indicaciones que le he indicado previamente y me manda una [color=orange]Captura de Pantalla con todas las amenazas e infecciones que se refleje que haya eliminado el programa y me manda también el Informe con todas las amenazas e infecciones que se refleje que haya eliminado el programa.

Para poder enviarme el Informe correctamente que se le solicito en este foro abra la siguiente Url y siga los pasos que se le indican:

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

Reporte Kaspersky TDSSKiller:

20:33:33.0427 0x32a4  TDSS rootkit removing tool 3.1.0.28 Apr  9 2019 21:11:46
20:33:33.0427 0x32a4  UEFI system
20:33:43.0388 0x32a4  ============================================================
20:33:43.0388 0x32a4  Current date / time: 2022/09/25 20:33:43.0388
20:33:43.0388 0x32a4  SystemInfo:
20:33:43.0388 0x32a4  
20:33:43.0388 0x32a4  OS Version: 10.0.19043 ServicePack: 0.0
20:33:43.0388 0x32a4  Product type: Workstation
20:33:43.0388 0x32a4  ComputerName: LAPTOP-LKQ5EEQK
20:33:43.0388 0x32a4  UserName: h_shi
20:33:43.0388 0x32a4  Windows directory: C:\WINDOWS
20:33:43.0388 0x32a4  System windows directory: C:\WINDOWS
20:33:43.0388 0x32a4  Running under WOW64
20:33:43.0388 0x32a4  Processor architecture: Intel x64
20:33:43.0388 0x32a4  Number of processors: 4
20:33:43.0388 0x32a4  Page size: 0x1000
20:33:43.0388 0x32a4  Boot type: Normal boot
20:33:43.0388 0x32a4  CodeIntegrityOptions = 0x0000C001
20:33:43.0388 0x32a4  ============================================================
20:33:45.0419 0x32a4  KLMD registered as C:\WINDOWS\system32\drivers\08781724.sys
20:33:45.0419 0x32a4  KLMD ARK init status: drvProperties = 0xF0F02, osBuild = 19043.0, osProperties = 0x1D
20:33:46.0312 0x32a4  System UUID: {059DD481-BBFB-3170-2A4D-0BB9393F639E}
20:33:47.0609 0x32a4  !crdlk
20:33:47.0624 0x32a4  Drive \Device\Harddisk0\DR0 - Size: 0x7470C06000 ( 465.76 Gb ), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'A'
20:33:47.0656 0x32a4  ============================================================
20:33:47.0656 0x32a4  \Device\Harddisk0\DR0:
20:33:47.0671 0x32a4  GPT partitions:
20:33:47.0671 0x32a4  \Device\Harddisk0\DR0\Partition1: GPT, TypeGUID: {C12A7328-F81F-11D2-BA4B-00A0C93EC93B}, UniqueGUID: {19EE6AAC-8955-4DF6-8357-43CE22DAE226}, Name: EFI system partition, StartLBA 0x800, BlocksNum 0x82000
20:33:47.0671 0x32a4  \Device\Harddisk0\DR0\Partition2: GPT, TypeGUID: {E3C9E316-0B5C-4DB8-817D-F92DF00215AE}, UniqueGUID: {2FB0C535-9820-4D50-980D-08DD72E162D3}, Name: Microsoft reserved partition, StartLBA 0x82800, BlocksNum 0x8000
20:33:47.0671 0x32a4  \Device\Harddisk0\DR0\Partition3: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {8D307650-41AD-4CB0-A8C4-3057773BF22B}, Name: Basic data partition, StartLBA 0x8A800, BlocksNum 0x37BC7000
20:33:47.0671 0x32a4  \Device\Harddisk0\DR0\Partition4: GPT, TypeGUID: {DE94BBA4-06D1-4D40-A16A-BFD50179D6AC}, UniqueGUID: {B09D4865-D23D-432A-8F67-B4FA75A6E63D}, Name: Basic data partition, StartLBA 0x37C51800, BlocksNum 0x1EA000
20:33:47.0671 0x32a4  \Device\Harddisk0\DR0\Partition5: GPT, TypeGUID: {EBD0A0A2-B9E5-4433-87C0-68B6B72699C7}, UniqueGUID: {27EBA3E4-B133-44D6-9999-7EAD2DF0CDF2}, Name: Basic data partition, StartLBA 0x37E3B800, BlocksNum 0x2548000
20:33:47.0671 0x32a4  MBR partitions:
20:33:47.0671 0x32a4  ============================================================
20:33:47.0796 0x32a4  C: <-> \Device\Harddisk0\DR0\Partition3
20:33:48.0546 0x32a4  D: <-> \Device\Harddisk0\DR0\Partition5
20:33:48.0546 0x32a4  ============================================================
20:33:48.0546 0x32a4  Initialize success
20:33:48.0546 0x32a4  ============================================================
20:08:37.0042 0x3038  ============================================================
20:08:37.0042 0x3038  Scan started
20:08:37.0042 0x3038  Mode: Manual; 
20:08:37.0042 0x3038  ============================================================
20:12:07.0912 0x1388  Scan finished
20:12:07.0912 0x1388  ============================================================
20:12:07.0937 0x2e24  Detected object count: 0
20:12:07.0937 0x2e24  Actual detected object count: 0