Hola, les pido ayuda para solucionar un problema en mi portátil, verán en usado todo tipo de antivirus y no logro eliminar el virus que oculta los archivos y crea una sola carpeta en los usb llamada Disco extraible (que es un acceso directo) y por tanto debo activar visualizar archivos oculto para que aparezca una carpeta que contiene todos los documentos, dentro hay una carpeta llamada system donde estan archivos ejecutable y una aplicación llamada robocopy he intentado con muchos antivirus y ninguno parece funcionar, si tenen alguna solucion por favor haganmela saber de lo contrario debere reinstalar windows lo que es tedioso tomando en cuenta que tengo muchos software de ingenieria que pesan bastante
Hola
Primero vamos a examinar Tu PC y luego vamos a desinfectar las memorias, de modo que NO insertes ninguna memoria externa hasta que te lo indique.
Realiza las siguientes acciones:
Análisis del PC con Eset Online Scaner : Manual de Uso
Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso
NOTAS IMPORTANTES:
-
En Tu próxima respuesta, debes pegar ambos reportes.
-
Debes copiar y pegar los reportes solicitados con todo su contenido. Usaras varios mensajes si recibes un mensaje de error indicando que es muy largo (mas de 50.000 caracteres aprox.).
Guía: Como Pegar reportes en el Foro
- Nos comentas como sigue el problema original por el que abriste el tema.
Saludos
Saludos @Leosolari. He aplicado las medidas que me mencionaste y aquí están los resultados:
22/08/2019 6:45:58
Archivos analizados: 535166
Archivos infectados: 23
Amenazas desinfectadas: 23
Tiempo total de análisis 03:09:53
Estado del análisis: Finalizado
C:\Program Files\Nitro\Pro\12\nitro.pro.11.0.2.110.(x64)-patch.exe una variante de Win32/HackTool.Patcher.AD aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV - Complete Edition\EFLC\XLive.dll una variante de Win32/Packed.VMProtect.AAH Troyano no se ha podido desinfectar - archivo eliminado
C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV - Complete Edition\GTAIV\XLive.dll una variante de Win32/Packed.VMProtect.AAH Troyano no se ha podido desinfectar - archivo eliminado
C:\system\folder\start.bat BAT/CoinMiner.ALR Troyano no se ha podido desinfectar - archivo eliminado
C:\system\folder\start.vbs BAT/CoinMiner.ALR Troyano no se ha podido desinfectar - archivo eliminado
C:\system\Disco extraible.lnk LNK/Agent.FZ Troyano no se ha podido desinfectar - archivo eliminado
C:\system\system.cmd BAT/CoinMiner.ALR Troyano no se ha podido desinfectar - archivo eliminado
C:\system\system.vbs BAT/CoinMiner.ALR Troyano no se ha podido desinfectar - archivo eliminado
C:\Users\Teo\AppData\Roaming\uTorrent\msimg32.dll Win32/HackTool.Crack.HM aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
C:\Windows.old\Users\Teo\AppData\Local\Temp\is-BR1FQ.tmp-dbinst\setup.exe una variante de Win32/IObit.U aplicación potencialmente indeseable no se ha podido desinfectar - archivo eliminado
C:\Windows.old\Users\Teo\AppData\Local\Temp\is-L94RO.tmp-dbinst\setup.exe una variante de Win32/IObit.U aplicación potencialmente indeseable no se ha podido desinfectar - archivo eliminado
E:\Games\Age of Empires II HD\steam_apirajas.dll una variante de Win32/HackTool.Crack.EN aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
E:\Teo\Descargas\controller_pc_v18_portable\ControllerPC.exe una variante de MSIL/Agent.BKP Troyano no se ha podido desinfectar - archivo eliminado
E:\Teo\Descargas\Documents\novela-cantaclaro-romulo-gallegos-pdf.pdf PDF/Phishing.A.Gen Troyano no se ha podido desinfectar - archivo eliminado
E:\Teo\Descargas\Malwarebytes Premium 3.7.1.exe una variante de Win32/HostsEditor.A aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\BackUp Milena\Memoria\Drive\trz83B2.tmp LNK/Agent.AK Troyano no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\BackUp Milena\Memoria\Drive\trzC347.tmp LNK/Agent.AK Troyano no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\BackUp Milena\Memoria\Drive.bat BAT/Starter.NEB Troyano no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\borland_c\Activate\bcb6kg.EXE Win32/Keygen.II aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\CNC\Activador\Programs\AAct v3.9.3 Portable\AAct.exe una variante de Win32/HackTool.KMSAuto.E aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\CNC\Activador\Programs\AAct v3.9.3 Portable\AAct_x64.exe una variante de Win64/HackTool.WinActivator.B aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\CNC\Activador\KMSTools.exe una variante de Generik.EKBWUOO Troyano no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\Recuva Professional Plus2018 - Descargandolo\Instalador Recuva Profesional 2018.exe Win32/Bundled.Toolbar.Google.D aplicación potencialmente peligrosa no se ha podido desinfectar - archivo eliminado
Este es el reporte de ESET
A continuación el reporte de Kasperky
Espero respuesta a esto y de los pasos siguientes para poder volver a cnectar memorias USB; y muchisimas gracias de verdadHola
Realiza el procedimiento para ejecutar USBFix tal como o indica este manual
Volves con su reporte y nos comentas como sigue.
Saludos
Saludos!! @Leosolari
ya apliqué el USBfix he aquí el informe:
# ----------------------------------------------------
# UsbFix Antivirus Free
# ----------------------------------------------------
# Versión : 11.016
# Base de datos : 2019.05.21
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : Teo (Administrador)
# Dispositivo : DESKTOP-92LCPJ9
# Comenzó : 24/08/2019 18:32:04
# ----------------------------------------------------
------------ | Discos analizados |
C:\ NTFS (66GB/214GB) [Fixed]
D:\ FAT32 (3GB/29GB) [Removable]
E:\ NTFS (27GB/251GB) [Fixed]
------------ | Elemento(s) infectado(s) |
Restorado! D:\DEVICE
Borrado! C:\system\folder\ROBOCOPY.exe
Borrado! C:\system\folder
Borrado! D:\Disco extraible.lnk
------------ | Run |
F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 - HKCU\..\Run : [OneDrive] "C:\Users\Teo\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKCU\..\Run : [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
04 - HKLM\..\Run : [Autodesk Desktop App] "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe" -tray
04 - [x64] HKLM\..\Run : [SecurityHealth] %windir%\system32\SecurityHealthSystray.exe
04 - [x64] HKLM\..\Run : [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" -s
04 - [x64] HKLM\..\Run : [Conisio Login Manager] "C:\PROGRA~1\SOLIDW~1\SOLIDW~3\EDMSER~1.EXE" /runatlogin
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08222019231521907\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08222019231522571\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-3630642848-1513092987-2314599116-1001\..\Run : [OneDrive] "C:\Users\Teo\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKU\S-1-5-21-3630642848-1513092987-2314599116-1001\..\Run : [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
04GS - Programa de descargas en segundo plano de SOLIDWORKS.lnk : C:\Program Files (x86)\Common Files\Gestor de instalación de SOLIDWORKS\BackgroundDownloading\sldBgDwld.exe
04GS - SOLIDWORKS 2017 Fast Start.lnk : C:\WINDOWS\Installer\{BB965FD0-077F-4CA4-BFD1-39FFEFF15770}\NewShortcut2_87EDF6C81D0A4B7B84F42FE0C6A9D608.exe
------------ | Tasks |
Task - EOSv3 Scheduler onLogOn --> E:\Teo\Descargas\esetonlinescanner_esn.exe LOGON
Task - EOSv3 Scheduler onTime --> E:\Teo\Descargas\esetonlinescanner_esn.exe SCHED
Task - GoogleUpdateTaskMachineCore --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - OneDrive Standalone Update Task-S-1-5-21-3630642848-1513092987-2314599116-1001 --> %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
Task - Opera scheduled Autoupdate 1564170847 --> C:\Users\Teo\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0)
------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |
[22/08/2019 - 23:15:06 | ASH | 1048576 Ko] - pagefile.sys
[22/08/2019 - 23:15:07 | ASH | 262144 Ko] - swapfile.sys
[24/08/2019 - 15:50:18 | ASH | 2487236 Ko] - hiberfil.sys
[12/02/2019 - 17:40:27 | D] - Windows.old
[12/02/2019 - 15:59:17 | SHD] - $Recycle.Bin
[09/02/2019 - 00:50:46 | SHD] - Documents and Settings
[09/02/2019 - 00:50:47 | SHD] - Archivos de programa
[09/02/2019 - 02:05:39 | D] - Intel
[12/02/2019 - 12:05:36 | D] - PerfLogs
[12/02/2019 - 12:17:59 | SHD] - Recovery
[12/02/2019 - 12:18:40 | HD] - $SysReset
[12/02/2019 - 17:32:26 | RD] - Users
[12/02/2019 - 22:54:07 | D] - Autodesk
[18/02/2019 - 19:40:07 | D] - GOG Games
[23/02/2019 - 11:08:38 | D] - Games
[22/03/2019 - 16:28:08 | D] - Nueva carpeta
[29/05/2019 - 02:00:10 | D] - SOLIDWORKS Data
[21/08/2019 - 07:09:53 | HD] - ProgramData
[22/08/2019 - 08:08:02 | AD] - Windows
[22/08/2019 - 08:15:15 | D] - KVRT_Data
[23/08/2019 - 16:25:51 | RD] - Program Files
[24/08/2019 - 18:28:57 | RD] - Program Files (x86)
[24/08/2019 - 18:32:33 | HD] - system
------------ | D:\ - Disco extraíble (FAT32) |
[21/08/2019 - 06:31:02 | D] - DEVICE
------------ | E:\ - Disco fijo (NTFS) |
[23/02/2019 - 11:20:58 | HD] - msdownld.tmp
[06/06/2019 - 20:17:01 | SHD] - $RECYCLE.BIN
[17/02/2019 - 14:58:55 | D] - Teo
[09/06/2019 - 17:55:00 | D] - Games
Elemento(s) infectado(s) : 3
Elementos analizados : 79939 en 00h 00m 09s
# UsbFix-Report-01.txt [4989B]
------------ | E.O.F |
El problema con las usb se solucionó, pero entre al Windows Defender y no puedo activar la protección en tiempo real, aparece un mensaje que dice “Esta configuración la administra el administrador”, en letras rojas, y el boton de activación esta gris.
Hola
El problema por el que abriste el tema se soluciono.
Lo del antivirus es posible que se hayan establecido algunas restricciones por directivas, ya sea por culpa de algún malware, o por configuraciones de los antivirus de terceros, que aunque se hayan desinstalado, no han desinstalado las políticas aplicadas.
Sigue estos pasos:
-
Pulsa las teclas Windows+R
-
En la casilla Abrir escribe “regedit” (sin comillas) y pulsa Intro. Se abrirá el editor del registro.
-
Comprueba si existe la siguiente clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
- Si existe, elimina la carpeta “Windows Defender” (clic derecho sobre Windows Defender > Eliminar).
Por lo que respecta a la restricción de Comentarios y diagnósticos, lo que ha pasado es que se ha habilitado por directiva la Telemetría únicamente en el nivel Básico. Posiblemente también te aparece restringida la opción “Mejorar la entrada manuscrita y la escritura”. Para eliminar estas restricciones, haz lo mismo que antes y localiza en el registro la clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
Y en el panel derecho elimina el valor REG_DWORD AllowTelemetry.
Cierra el editor del registro y reinicia el sistema.
Nos comentas …
Hola, ya solucioné el problema del todo apliqué la solución que mencionaste, y funcionó gracias
Hola
Para cualquier otro problema, no dudes en volver a postear. Ya sabes dónde estamos.
Tema Solucionado
Saludos
Este tema se cerró automáticamente 2 días después del último post. No se permiten nuevas respuestas.