Robocopy como virus de Acceso directo

Hola, les pido ayuda para solucionar un problema en mi portátil, verán en usado todo tipo de antivirus y no logro eliminar el virus que oculta los archivos y crea una sola carpeta en los usb llamada Disco extraible (que es un acceso directo) y por tanto debo activar visualizar archivos oculto para que aparezca una carpeta que contiene todos los documentos, dentro hay una carpeta llamada system donde estan archivos ejecutable y una aplicación llamada robocopy he intentado con muchos antivirus y ninguno parece funcionar, si tenen alguna solucion por favor haganmela saber de lo contrario debere reinstalar windows lo que es tedioso tomando en cuenta que tengo muchos software de ingenieria que pesan bastante

Hola

Primero vamos a examinar Tu PC y luego vamos a desinfectar las memorias, de modo que NO insertes ninguna memoria externa hasta que te lo indique.

Realiza las siguientes acciones:

Análisis del PC con Eset Online Scaner : Manual de Uso

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

NOTAS IMPORTANTES:

  1. En Tu próxima respuesta, debes pegar ambos reportes.

  2. Debes copiar y pegar los reportes solicitados con todo su contenido. Usaras varios mensajes si recibes un mensaje de error indicando que es muy largo (mas de 50.000 caracteres aprox.).

Guía: Como Pegar reportes en el Foro

  1. Nos comentas como sigue el problema original por el que abriste el tema.

Saludos

Saludos @Leosolari. He aplicado las medidas que me mencionaste y aquí están los resultados:

22/08/2019 6:45:58
Archivos analizados: 535166
Archivos infectados: 23
Amenazas desinfectadas: 23
Tiempo total de análisis 03:09:53
Estado del análisis: Finalizado


C:\Program Files\Nitro\Pro\12\nitro.pro.11.0.2.110.(x64)-patch.exe	una variante de Win32/HackTool.Patcher.AD aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado
C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV - Complete Edition\EFLC\XLive.dll	una variante de Win32/Packed.VMProtect.AAH Troyano	no se ha podido desinfectar - archivo eliminado
C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV - Complete Edition\GTAIV\XLive.dll	una variante de Win32/Packed.VMProtect.AAH Troyano	no se ha podido desinfectar - archivo eliminado
C:\system\folder\start.bat	BAT/CoinMiner.ALR Troyano	no se ha podido desinfectar - archivo eliminado
C:\system\folder\start.vbs	BAT/CoinMiner.ALR Troyano	no se ha podido desinfectar - archivo eliminado
C:\system\Disco extraible.lnk	LNK/Agent.FZ Troyano	no se ha podido desinfectar - archivo eliminado
C:\system\system.cmd	BAT/CoinMiner.ALR Troyano	no se ha podido desinfectar - archivo eliminado
C:\system\system.vbs	BAT/CoinMiner.ALR Troyano	no se ha podido desinfectar - archivo eliminado
C:\Users\Teo\AppData\Roaming\uTorrent\msimg32.dll	Win32/HackTool.Crack.HM aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado
C:\Windows.old\Users\Teo\AppData\Local\Temp\is-BR1FQ.tmp-dbinst\setup.exe	una variante de Win32/IObit.U aplicación potencialmente indeseable	no se ha podido desinfectar - archivo eliminado
C:\Windows.old\Users\Teo\AppData\Local\Temp\is-L94RO.tmp-dbinst\setup.exe	una variante de Win32/IObit.U aplicación potencialmente indeseable	no se ha podido desinfectar - archivo eliminado
E:\Games\Age of Empires II HD\steam_apirajas.dll	una variante de Win32/HackTool.Crack.EN aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado
E:\Teo\Descargas\controller_pc_v18_portable\ControllerPC.exe	una variante de MSIL/Agent.BKP Troyano	no se ha podido desinfectar - archivo eliminado
E:\Teo\Descargas\Documents\novela-cantaclaro-romulo-gallegos-pdf.pdf	PDF/Phishing.A.Gen Troyano	no se ha podido desinfectar - archivo eliminado
E:\Teo\Descargas\Malwarebytes Premium 3.7.1.exe	una variante de Win32/HostsEditor.A aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\BackUp Milena\Memoria\Drive\trz83B2.tmp	LNK/Agent.AK Troyano	no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\BackUp Milena\Memoria\Drive\trzC347.tmp	LNK/Agent.AK Troyano	no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\BackUp Milena\Memoria\Drive.bat	BAT/Starter.NEB Troyano	no se ha podido desinfectar - archivo eliminado
E:\Teo\Documentos\borland_c\Activate\bcb6kg.EXE	Win32/Keygen.II aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\CNC\Activador\Programs\AAct v3.9.3 Portable\AAct.exe	una variante de Win32/HackTool.KMSAuto.E aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\CNC\Activador\Programs\AAct v3.9.3 Portable\AAct_x64.exe	una variante de Win64/HackTool.WinActivator.B aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\CNC\Activador\KMSTools.exe	una variante de Generik.EKBWUOO Troyano	no se ha podido desinfectar - archivo eliminado
E:\Teo\Escritorio\Recuva Professional Plus2018 - Descargandolo\Instalador Recuva Profesional 2018.exe	Win32/Bundled.Toolbar.Google.D aplicación potencialmente peligrosa	no se ha podido desinfectar - archivo eliminado

Este es el reporte de ESET

A continuación el reporte de Kasperky

Espero respuesta a esto y de los pasos siguientes para poder volver a cnectar memorias USB; y muchisimas gracias de verdad

Hola

Realiza el procedimiento para ejecutar USBFix tal como o indica este manual

Volves con su reporte y nos comentas como sigue.

Saludos

Saludos!! @Leosolari

ya apliqué el USBfix he aquí el informe:

# ----------------------------------------------------
# UsbFix Antivirus Free
# ----------------------------------------------------
# Versión : 11.016
# Base de datos : 2019.05.21 
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : Teo (Administrador)
# Dispositivo : DESKTOP-92LCPJ9
# Comenzó : 24/08/2019 18:32:04
# ----------------------------------------------------

------------ | Discos analizados |

C:\	NTFS	(66GB/214GB)	[Fixed] 
D:\	FAT32	(3GB/29GB)	[Removable] 
E:\	NTFS	(27GB/251GB)	[Fixed] 

------------ | Elemento(s) infectado(s) |

Restorado! D:\DEVICE
Borrado! C:\system\folder\ROBOCOPY.exe
Borrado! C:\system\folder
Borrado! D:\Disco extraible.lnk

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 - HKCU\..\Run : [OneDrive] "C:\Users\Teo\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKCU\..\Run : [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
04 - HKLM\..\Run : [Autodesk Desktop App] "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe" -tray
04 - [x64] HKLM\..\Run : [SecurityHealth] %windir%\system32\SecurityHealthSystray.exe
04 - [x64] HKLM\..\Run : [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" -s
04 - [x64] HKLM\..\Run : [Conisio Login Manager] "C:\PROGRA~1\SOLIDW~1\SOLIDW~3\EDMSER~1.EXE" /runatlogin
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08222019231521907\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08222019231522571\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-3630642848-1513092987-2314599116-1001\..\Run : [OneDrive] "C:\Users\Teo\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKU\S-1-5-21-3630642848-1513092987-2314599116-1001\..\Run : [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
04GS - Programa de descargas en segundo plano de SOLIDWORKS.lnk : C:\Program Files (x86)\Common Files\Gestor de instalación de SOLIDWORKS\BackgroundDownloading\sldBgDwld.exe
04GS - SOLIDWORKS 2017 Fast Start.lnk : C:\WINDOWS\Installer\{BB965FD0-077F-4CA4-BFD1-39FFEFF15770}\NewShortcut2_87EDF6C81D0A4B7B84F42FE0C6A9D608.exe

------------ | Tasks |

Task - EOSv3 Scheduler onLogOn --> E:\Teo\Descargas\esetonlinescanner_esn.exe LOGON
Task - EOSv3 Scheduler onTime --> E:\Teo\Descargas\esetonlinescanner_esn.exe SCHED
Task - GoogleUpdateTaskMachineCore --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - OneDrive Standalone Update Task-S-1-5-21-3630642848-1513092987-2314599116-1001 --> %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
Task - Opera scheduled Autoupdate 1564170847 --> C:\Users\Teo\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0)

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[22/08/2019 - 23:15:06 | ASH | 1048576 Ko] - pagefile.sys
[22/08/2019 - 23:15:07 | ASH | 262144 Ko] - swapfile.sys
[24/08/2019 - 15:50:18 | ASH | 2487236 Ko] - hiberfil.sys
[12/02/2019 - 17:40:27 | D] - Windows.old
[12/02/2019 - 15:59:17 | SHD] - $Recycle.Bin
[09/02/2019 - 00:50:46 | SHD] - Documents and Settings
[09/02/2019 - 00:50:47 | SHD] - Archivos de programa
[09/02/2019 - 02:05:39 | D] - Intel
[12/02/2019 - 12:05:36 | D] - PerfLogs
[12/02/2019 - 12:17:59 | SHD] - Recovery
[12/02/2019 - 12:18:40 | HD] - $SysReset
[12/02/2019 - 17:32:26 | RD] - Users
[12/02/2019 - 22:54:07 | D] - Autodesk
[18/02/2019 - 19:40:07 | D] - GOG Games
[23/02/2019 - 11:08:38 | D] - Games
[22/03/2019 - 16:28:08 | D] - Nueva carpeta
[29/05/2019 - 02:00:10 | D] - SOLIDWORKS Data
[21/08/2019 - 07:09:53 | HD] - ProgramData
[22/08/2019 - 08:08:02 | AD] - Windows
[22/08/2019 - 08:15:15 | D] - KVRT_Data
[23/08/2019 - 16:25:51 | RD] - Program Files
[24/08/2019 - 18:28:57 | RD] - Program Files (x86)
[24/08/2019 - 18:32:33 | HD] - system

------------ | D:\ - Disco extraíble (FAT32) |

[21/08/2019 - 06:31:02 | D] - DEVICE

------------ | E:\ - Disco fijo (NTFS) |

[23/02/2019 - 11:20:58 | HD] - msdownld.tmp
[06/06/2019 - 20:17:01 | SHD] - $RECYCLE.BIN
[17/02/2019 - 14:58:55 | D] - Teo
[09/06/2019 - 17:55:00 | D] - Games

Elemento(s) infectado(s) : 3
Elementos analizados : 79939 en 00h 00m 09s

# UsbFix-Report-01.txt [4989B]

------------ | E.O.F  |

El problema con las usb se solucionó, pero entre al Windows Defender y no puedo activar la protección en tiempo real, aparece un mensaje que dice “Esta configuración la administra el administrador”, en letras rojas, y el boton de activación esta gris.

Hola

El problema por el que abriste el tema se soluciono.

Lo del antivirus es posible que se hayan establecido algunas restricciones por directivas, ya sea por culpa de algún malware, o por configuraciones de los antivirus de terceros, que aunque se hayan desinstalado, no han desinstalado las políticas aplicadas.

Sigue estos pasos:

  1. Pulsa las teclas Windows+R

  2. En la casilla Abrir escribe “regedit” (sin comillas) y pulsa Intro. Se abrirá el editor del registro.

  3. Comprueba si existe la siguiente clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

  1. Si existe, elimina la carpeta “Windows Defender” (clic derecho sobre Windows Defender > Eliminar).

Por lo que respecta a la restricción de Comentarios y diagnósticos, lo que ha pasado es que se ha habilitado por directiva la Telemetría únicamente en el nivel Básico. Posiblemente también te aparece restringida la opción “Mejorar la entrada manuscrita y la escritura”. Para eliminar estas restricciones, haz lo mismo que antes y localiza en el registro la clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection

Y en el panel derecho elimina el valor REG_DWORD AllowTelemetry.

Cierra el editor del registro y reinicia el sistema.

Nos comentas …

Hola, ya solucioné el problema del todo apliqué la solución que mencionaste, y funcionó gracias

Hola

Para cualquier otro problema, no dudes en volver a postear. Ya sabes dónde estamos.

Tema Solucionado

Saludos

Este tema se cerró automáticamente 2 días después del último post. No se permiten nuevas respuestas.