Se me borran todos los ficheros de los discos duros

1.- He hecho el análisis del equipo con Dr. Web y ha detectado solo el desinstalador del USBFix que instalé de vuestra página. Me imagino que es un falso positivo. En cambio no ha visto ninguna amenaza en el disco F donde tengo la copia de seguridad del disco C. Te adjunto el reporte porque es muy grande y no deja subirlo: DrWebReport (Editado)

2.- No han vuelto a desaparecer archivos? De momento toco madera porque lleva ya una semana sin problema de borrado de ficheros.

3.- Sobre FRST: He creado el fichero fixlist.txt como me dijiste y pulsado sobre fix. Aquí está el reporte aunque parece que no tiene problema. Lo que sí que al terminar el antivirus me bloqueó un acceso a hosts como puedes ver también en el reporte:

Fix result of Farbar Recovery Scan Tool (x64) Version: 14.01.2019 01
Ran by user07 (15-01-2019 10:32:46) Run:1
Running from C:\Users\user07\Desktop
Loaded Profiles: user07 (Available Profiles: user07)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3052262105-1033707930-2950275881-1000\...\Run: [] => [X]
HKU\S-1-5-21-3052262105-1033707930-2950275881-1000\...\MountPoints2: {1046a183-0458-11e9-ae53-806e6f6e6963} - D:\AUTORUN.EXE
HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
Tcpip\Parameters: [DhcpNameServer] 10.0.0.20 80.58.61.254 80.58.61.250
Tcpip\..\Interfaces\{CD416A64-089A-435E-8FC4-C84045FAC572}: [DhcpNameServer] 10.0.0.20 80.58.61.254 80.58.61.250
CHR DefaultSearchURL: Default -> hxxps://search.avira.com/#web/result?source=omnibar&q={searchTerms}
CHR DefaultSearchKeyword: Default -> Avira
CHR DefaultSuggestURL: Default -> hxxps://search.avira.com/suggestions?q={searchTerms}&li=ff&hl=es
CHR HKLM\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ipmkfpcnmccejididiaagpgchgjfajgp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ipmkfpcnmccejididiaagpgchgjfajgp] - hxxps://clients2.google.com/service/update2/crx
U3 aswbdisk; no ImagePath
2019-01-08 09:17 - 2019-01-08 09:17 - 000000000 ____D C:\Users\user07\AppData\Local\CEF
2019-01-08 09:15 - 2019-01-08 09:15 - 000000000 ____D C:\Windows\System32\Tasks\Avast Software
2019-01-08 09:14 - 2019-01-08 09:14 - 000000000 ____D C:\Program Files\Common Files\AVAST Software
2019-01-08 09:11 - 2019-01-08 09:30 - 000000000 ____D C:\ProgramData\AVAST Software
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {B53EDE25-C10F-46E6-A3DA-0E9F8BA621FD} - System32\Tasks\{FF96174D-F796-4BD2-948A-A854B0F33800} => C:\Windows\system32\pcalua.exe -a "C:\Users\user07\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7OKT3PBA\sp93025[1].exe" -d C:\Users\user07\Desktop
Task: {D4B6E7A1-DB24-4044-8551-B66110CA3D90} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2019-01-11] (AVAST Software)
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************

Processes closed successfully.
Restore point was successfully created.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => removed successfully
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => removed successfully
"HKU\S-1-5-21-3052262105-1033707930-2950275881-1000\Software\Microsoft\Windows\CurrentVersion\Run\\" => removed successfully
HKU\S-1-5-21-3052262105-1033707930-2950275881-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1046a183-0458-11e9-ae53-806e6f6e6963} => removed successfully
HKLM\Software\Classes\CLSID\{1046a183-0458-11e9-ae53-806e6f6e6963} => not found
"HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SPReview" => removed successfully
"HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer" => removed successfully
"HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{CD416A64-089A-435E-8FC4-C84045FAC572}\\DhcpNameServer" => removed successfully
"Chrome DefaultSearchURL" => removed successfully
"Chrome DefaultSearchKeyword" => removed successfully
"Chrome DefaultSuggestURL" => removed successfully
HKLM\SOFTWARE\Google\Chrome\Extensions\caljgklbbfbcjjanaijlacgncafpegll => removed successfully
HKLM\SOFTWARE\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk => removed successfully
HKLM\SOFTWARE\Google\Chrome\Extensions\ipmkfpcnmccejididiaagpgchgjfajgp => removed successfully
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\caljgklbbfbcjjanaijlacgncafpegll => removed successfully
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk => removed successfully
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ipmkfpcnmccejididiaagpgchgjfajgp => removed successfully
HKLM\System\CurrentControlSet\Services\aswbdisk => removed successfully
aswbdisk => service removed successfully
C:\Users\user07\AppData\Local\CEF => moved successfully
C:\Windows\System32\Tasks\Avast Software => moved successfully
C:\Program Files\Common Files\AVAST Software => moved successfully
C:\ProgramData\AVAST Software => moved successfully
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\00asw => removed successfully
HKLM\Software\Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24} => not found
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B53EDE25-C10F-46E6-A3DA-0E9F8BA621FD}" => removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B53EDE25-C10F-46E6-A3DA-0E9F8BA621FD}" => removed successfully
C:\Windows\System32\Tasks\{FF96174D-F796-4BD2-948A-A854B0F33800} => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{FF96174D-F796-4BD2-948A-A854B0F33800}" => removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{D4B6E7A1-DB24-4044-8551-B66110CA3D90}" => removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D4B6E7A1-DB24-4044-8551-B66110CA3D90}" => removed successfully
"C:\Windows\System32\Tasks\Avast Software\Overseer" => not found
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software\Overseer" => removed successfully

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= End of CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local mientras los medios
est‚n desconectados.

Adaptador de Ethernet Conexi¢n de  rea local 2:

   Sufijo DNS espec¡fico para la conexi¢n. . : sente.local
   V¡nculo: direcci¢n IPv6 local. . . : fe80::136:202b:ee9a:5f21%11
   Direcci¢n IPv4. . . . . . . . . . . . . . : 10.0.0.200
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 10.0.0.252

Adaptador de Ethernet Conexi¢n de  rea local:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{32BF05BD-5318-4990-8343-99AD617B3DB8}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.sente.local:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : sente.local

========= End of CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

0 out of 0 jobs canceled.

========= End of CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= End of CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= End of CMD: =========


========= netsh int ipv4 reset =========

Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= End of CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= End of CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully
"HKU\S-1-5-21-3052262105-1033707930-2950275881-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully
"HKU\S-1-5-21-3052262105-1033707930-2950275881-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully


========= End of RemoveProxy: =========

Could not move "C:\Windows\System32\Drivers\etc\hosts" => Scheduled to move on reboot.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10537625 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 3354318 B
Edge => 0 B
Chrome => 56469305 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 18061 B
systemprofile32 => 66788 B
LocalService => 66228 B
NetworkService => 66228 B
user07 => 35185189 B

RecycleBin => 0 B
EmptyTemp: => 108.9 MB temporary data Removed.

================================

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 15-01-2019 10:37:35)

C:\Windows\System32\Drivers\etc\hosts => Could not move
Could not restore Hosts.

==== End of Fixlog 10:37:36 ====

Con respecto a la copia de seguridad ¿puedo fiarme de ella o qué me recomiendas? Gracias por tu interés.

Hola @anliva

Si lo es.

Tuve que editar el enlace tanto Malwarebytes Browser Extensión, como Malwarebytes Premium bloquean el sitio incluso la descarga.

Si revisas nuevamente el Manual de Dr. Web veras en el apartado Informe de Análisis como acortar el reporte pegándonos lo que necesitamos.

:+1::+1:

Olvide pedirte que desactivaras el Antivirus.

Por el momento nada indica, salvo USBFix que tenga alguna infección. Lamentablemente si la tuvieras que usar y el problema volviera, ya sabríamos el porque.:thinking:

Prueba ese equipo un par de días y luego vuelves a comentar si todo continua en orden.

Para eliminar las herramientas utilizadas:

Descargas >> [size=2]Delfix[/size], a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), lo pegas en tu próxima respuesta y cierra la herramienta.

Nos comentas.

Salu2.

Cuando parecía que todo estaba ya bien y pretendía esperar un par de días antes de volver a responder como me decías… a tomar por saco otra vez todos los ficheros y al momento me dijo apagando el equipo… He usado la copia de seguridad de la unidad F del “falso positivo” y de momento todo ha vuelto como ayer al mediodía. No había instalado nada nuevo ni había navegado por ninguna página “sospechosa”. A ver si el virus no está en el disco y está en la BIOS del equipo como el LOJAX. ¿Qué puedo hacer? :sob:

Hola @anliva

Estoy realizando una consulta por tu tema, a la brevedad te pongo pasos a seguir.

Una consulta mas, puedes describir paso a paso que sucede, una vez que te das cuenta que desaparecen los archivos? Que tipo de archivos son los que desaparecen? Documentos, imágenes? de Sistema? Antes de reinstalar la copia de F: que sucede al intentar prender el equipo?

Danos todos los datos que puedas.

Salu2.

Yo estoy trabajando tan normal y de pronto me doy cuenta porque desaparecen todos los iconos del escritorio. Después me dice el avira intento de acceso al hosts bloqueado y a continuación se me empiezan a cerrar todos los programas abiertos y dice apagando el equipo.

Si encendiendo otra vez el PC, a veces enciende y veo que me faltan todos los ficheros (aunque mantiene la estructura de carpetas) y otras directamente no enciende porque le falta algo del windows que impide el arranque. Ayer concretamente según encendí entre en reparar el sistema y usé la copia de seguridad diaria del disco F (la sospechosa por el SUBFix pero que ningún otro antivirus ni malware detecta como maligna). De momento todo normal aunque no ha pasado ni un día.

Hola @anliva

Realiza los siguientes pasos, sin cambiar el orden:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga a tu escritorio:

3.- Luego lo instalas y ejecutas.

Realiza un Análisis Completo (Scan) de acuerdo a su Manual guarda su reporte y lo pegas en tu próxima respuesta.

Guía : ¿Como Pegar reportes en el Foro?

Salu2

Hola Sandra,

Aquí están pegados los 2 reportes del programa. No encuentra tampoco nada…

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2019.01.18.05
  rootkit: v2019.01.18.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.19236
user07 :: USER10 [administrator]

18/01/2019 10:02:38
mbar-log-2019-01-18 (10-02-38).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 190600
Time elapsed: 8 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.10.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x64

Account is Administrative

Internet Explorer version: 11.0.9600.19236

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED, F:\ DRIVE_FIXED, G:\ DRIVE_FIXED
CPU speed: 2.793000 GHz
Memory total: 8547065856, free: 5366325248

Downloaded database version: v2019.01.18.05
Downloaded database version: v2019.01.18.05
Downloaded database version: v2018.01.20.01
Initializing...
=======================================
Driver version: 4.3.0.15
------------ Kernel report ------------
     01/18/2019 10:02:31
------------ Loaded modules -----------
\SystemRoot\system32\ntoskrnl.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\ACPI.sys
\SystemRoot\system32\drivers\WMILIB.SYS
\SystemRoot\system32\drivers\msisadrv.sys
\SystemRoot\system32\drivers\pci.sys
\SystemRoot\system32\drivers\vdrvroot.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\system32\drivers\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\system32\drivers\pciide.sys
\SystemRoot\system32\drivers\PCIIDEX.SYS
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\drivers\atapi.sys
\SystemRoot\system32\drivers\ataport.SYS
\SystemRoot\system32\drivers\amdxata.sys
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\msrpc.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\System32\Drivers\cng.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\System32\Drivers\avusbflt.sys
\SystemRoot\system32\drivers\volsnap.sys
\SystemRoot\System32\Drivers\spldr.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\hwpolicy.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\system32\drivers\disk.sys
\SystemRoot\system32\drivers\CLASSPNP.SYS
\SystemRoot\system32\DRIVERS\avdevprot.sys
\SystemRoot\system32\drivers\cdrom.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\system32\drivers\rdprefmp.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\wfplwf.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\drivers\termdd.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\system32\drivers\mssmbios.sys
\SystemRoot\System32\drivers\discache.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\blbdrive.sys
\SystemRoot\system32\DRIVERS\avkmgr.sys
\SystemRoot\system32\DRIVERS\avipbb.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\drivers\intelppm.sys
\SystemRoot\system32\DRIVERS\nvlddmkm.sys
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\dxgmms1.sys
\SystemRoot\system32\drivers\HDAudBus.sys
\SystemRoot\system32\DRIVERS\HECIx64.sys
\SystemRoot\system32\drivers\usbehci.sys
\SystemRoot\system32\drivers\USBPORT.SYS
\SystemRoot\system32\DRIVERS\Rt64win7.sys
\SystemRoot\system32\drivers\1394ohci.sys
\SystemRoot\system32\DRIVERS\SPorts.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\PPorts.sys
\SystemRoot\system32\DRIVERS\e1q62x64.sys
\SystemRoot\system32\drivers\wmiacpi.sys
\SystemRoot\system32\drivers\CompositeBus.sys
\SystemRoot\system32\DRIVERS\AgileVpn.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\rassstp.sys
\SystemRoot\system32\DRIVERS\rdpbus.sys
\SystemRoot\system32\drivers\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\drivers\swenum.sys
\SystemRoot\system32\drivers\ks.sys
\SystemRoot\system32\drivers\umbus.sys
\SystemRoot\system32\drivers\nvvad64v.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\drivers\ksthunk.sys
\SystemRoot\system32\drivers\usbhub.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\nvhda64v.sys
\SystemRoot\system32\drivers\RTKVHD64.sys
\SystemRoot\system32\drivers\usbccgp.sys
\SystemRoot\system32\drivers\USBD.SYS
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\system32\drivers\kbdhid.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\system32\DRIVERS\USBSTOR.SYS
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_dumpata.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\system32\DRIVERS\monitor.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\DRIVERS\avgntflt.sys
\SystemRoot\system32\DRIVERS\lltdio.sys
\SystemRoot\system32\DRIVERS\rspndr.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\system32\DRIVERS\avnetflt.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\System32\drivers\tcpipreg.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\DRIVERS\srv.sys
\??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys
\SystemRoot\system32\drivers\WudfPf.sys
\SystemRoot\system32\DRIVERS\WUDFRd.sys
\SystemRoot\system32\DRIVERS\asyncmac.sys
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\system32\drivers\WinUsb.sys
\??\C:\Windows\system32\drivers\mbamchameleon.sys
\??\C:\Windows\system32\drivers\A4E51617.sys
\Windows\System32\ntdll.dll
\Windows\System32\smss.exe
\Windows\System32\apisetschema.dll
\Windows\System32\autochk.exe
----------- End -----------
Done!

Scan started
Database versions:
  main:    v2019.01.18.05
  rootkit: v2019.01.18.05

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xfffffa8007a72790, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa8007a72250, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa8007a72790, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa800781e520, DeviceName: Unknown, DriverName: \Driver\ACPI\
DevicePointer: 0xfffffa8007820060, DeviceName: \Device\Ide\IdeDeviceP0T0L0-0\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 8B99F5C2

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 2048  Numsec = 204800
    Partition is bootable
    Partition file system is NTFS

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 206848  Numsec = 1955610624
    Partition is not bootable
    Partition file system is NTFS

    Partition 2 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1955817472  Numsec = 1951207424
    Partition is not bootable
    Partition file system is NTFS

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

Disk Size: 2000398934016 bytes
Sector size: 512 bytes

Done!
Physical Sector Size: 512
Drive: 1, DevicePointer: 0xfffffa8007ac9060, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa8007ac9ab0, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa8007ac9060, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa8007827520, DeviceName: Unknown, DriverName: \Driver\ACPI\
DevicePointer: 0xfffffa8007829060, DeviceName: \Device\Ide\IdeDeviceP1T0L0-2\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
Drive 1
Scanning MBR on drive 1...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: D1D0875

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 2048  Numsec = 1954041856
    Partition is not bootable
    Partition file system is NTFS

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 1954043904  Numsec = 1952980992
    Partition is not bootable
    Partition file system is NTFS

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

Disk Size: 2000398934016 bytes
Sector size: 512 bytes

Done!
Physical Sector Size: 0
Drive: 3, DevicePointer: 0xfffffa800a6c6790, DeviceName: \Device\Harddisk3\DR3\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa800a6c8040, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa800a6c6790, DeviceName: \Device\Harddisk3\DR3\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa800a6b7060, DeviceName: \Device\00000077\, DriverName: \Driver\USBSTOR\
------------ End ----------
Physical Sector Size: 0
Drive: 4, DevicePointer: 0xfffffa800a6c8790, DeviceName: \Device\Harddisk4\DR4\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa800a6c9040, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa800a6c8790, DeviceName: \Device\Harddisk4\DR4\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa800a6cf060, DeviceName: \Device\00000078\, DriverName: \Driver\USBSTOR\
------------ End ----------
Physical Sector Size: 0
Drive: 5, DevicePointer: 0xfffffa800a6c9790, DeviceName: \Device\Harddisk5\DR5\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa800a6ca040, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa800a6c9790, DeviceName: \Device\Harddisk5\DR5\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa800a6ceb60, DeviceName: \Device\00000079\, DriverName: \Driver\USBSTOR\
------------ End ----------
Physical Sector Size: 0
Drive: 6, DevicePointer: 0xfffffa800a6ca790, DeviceName: \Device\Harddisk6\DR6\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa800a6cb040, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa800a6ca790, DeviceName: \Device\Harddisk6\DR6\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa800a6c6060, DeviceName: \Device\0000007a\, DriverName: \Driver\USBSTOR\
------------ End ----------
Scan finished

Hola @anliva

Tu tema me tiene completamente intrigada solo podemos seguir investigando:

Realiza lo siguiente:

1.- Descarga Minitoolbox by Farbar.

  • Lo ejecutas,
  • Marcas todas las casillas.
  • Presiona en “Go”

Nos pegas el reporte en tu próxima respuesta-

2.- Necesito que desinstales tu Antivirus.

3.- Luego de reiniciar Instales una versión de Prueba de Nod32 que tienen incorporado el análisis de UEFI:

Eset Nod32 Demo 30 días

Realizas un análisis completo del equipo y nos comentas.

Salu2.

Hola Sandra, El fin de semana no usé el ordenador y hoy me he encontrado algunas sorpresas: primero el Outlook no abría porque un fichero no tenía suficientes permisos??? En propiedades he cambiado la propiedad de mi carpeta de usuario que estaba en SYSTEM!!. Seguía con el problema y he visto que estaba marcado Modo lectura. Lo he quitado y después he arrancado el Outlook como administrador y ya ha funcionado. Después al rato me ha dicho Windows se cerrará en menos de 1 minuto (hacía más de 1 mes que no veía este mensaje…) Me lo ha vuelto a hacer después a la hora de comer… no sé si realmente es una actualización de windows o por qué se ha apagado. Pero al menos no he perdido ningún fichero. He hecho lo que me pedías y paso a adjuntarte los reportes. El Eset tiene 2 reportes porque el primero es uno que ha hecho automático nada más instalar el programa. Después he marcado todo (incluido UEFI) y he hecho otro análisis. Aquí están los 3 reportes: MTB.txt (78,8 KB)

Registro
Registro del análisis a petición del usuario
Versión del motor de detección: 18740 (20190121)
Fecha: 21/01/2019  Hora: 12:20:52
Discos, carpetas y archivos analizados: C:\;D:\;F:\;G:\
C:\System Volume Information\{22ae0ad6-1d5a-11e9-9a0a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{591cb836-1a2c-11e9-8177-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{75d3528a-1d4f-11e9-82d1-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{8ca840e7-1996-11e9-9600-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB00e6f6d8#\b084a90e9190e9f2ed1cc4c6d855304f\Avira.GameBooster.UI.Views.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB038da92b#\7371b8a2b97c7337b2a7afac7d7738b3\Avira.GameBooster.UI.Common.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB09014c27#\1f8cc5d32bc064dda005661062a4db2a\Avira.GameBooster.Infrastructure.Presentation.ViewModel.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB15d401b7#\221ceb83b3b74c69eb9a216662c6480a\Avira.GameBooster.Core.Service.Interface.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB2729e2e2#\8eb2a5e4f031e06d3ce7dc3aab621452\Avira.GameBooster.UI.Styles.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB28288797#\0cd0fee96a2d6ff91f6b5d067b68a9a0\Avira.GameBooster.UI.ViewModels.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB378ee63f#\12c130318b6441946ff62adddf0303eb\Avira.GameBooster.UI.Resources.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB65677a4a#\998a54e9acf14fdb2f2e313262fc6c58\Avira.GameBooster.Infrastructure.Exception.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB943d9f8b#\d1f4544a6e698bb89620cc257e09d827\Avira.GameBooster.Infrastructure.Presentation.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBce1839aa#\d8ef44521ed4712cd2e07d60f8e0738b\Avira.GameBooster.Core.Host.Database.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBd27ef850#\941171d2a1661ecf17b959901c45b456\Avira.GameBooster.Infrastructure.Common.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBd4de60db#\ca99874cb3aca12e9847bfd1cd5c03a0\Avira.GameBooster.Core.CommonUtils.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBda790c5c#\510f450cd91eede2dbbd4ee388217679\Avira.GameBooster.Core.Service.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBdf351f1c#\a4504d65b3eddfd5c5b80d6740746b8f\Avira.GameBooster.UI.Application.ni.exe = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\hiberfil.sys - no se pudo abrir [4]
C:\pagefile.sys - no se pudo abrir [4]
D:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{89cd17fc-0e65-11e9-8462-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{89cd18b4-0e65-11e9-8462-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{89cd19f2-0e65-11e9-8462-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{8aa6489e-101d-11e9-ac07-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{b4cc8afd-09cd-11e9-8983-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{b4cc8b6d-09cd-11e9-8983-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{b4cc8c90-09cd-11e9-8983-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{bec1422d-08f6-11e9-8fc8-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{1c56e6df-17d0-11e9-86fb-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{1c56e835-17d0-11e9-86fb-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{288e45cb-142b-11e9-a56a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{288e466a-142b-11e9-a56a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{288e469e-142b-11e9-a56a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{34d8af27-14f7-11e9-a581-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{34d8b142-14f7-11e9-a581-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{591cb872-1a2c-11e9-8177-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{6ae58cd5-135f-11e9-a63e-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{6ae58d99-135f-11e9-a63e-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{e634a2ea-18a8-11e9-bfdb-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
G:\System Volume Information\{34d8b0d9-14f7-11e9-a581-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
G:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
Cantidad de objetos analizados: 231757
Cantidad de amenazas detectadas: 0
Hora de finalización: 13:24:17  Tiempo total de análisis: 3805 seg (01:03:25)

Notas:
[4] No se ha podido abrir el objeto. Podría estar en uso por otra aplicación o el sistema operativo.

Registro
Registro del análisis a petición del usuario
Versión del motor de detección: 18741 (20190121)
Fecha: 21/01/2019  Hora: 13:36:15
Discos, carpetas y archivos analizados: Memoria operativa;Sectores de inicio/UEFI;C:\Sectores de inicio/UEFI;C:\;D:\Sectores de inicio/UEFI;D:\;E:\Sectores de inicio/UEFI;E:\;F:\Sectores de inicio/UEFI;F:\;G:\Sectores de inicio/UEFI;G:\;H:\Sectores de inicio/UEFI;H:\;I:\Sectores de inicio/UEFI;I:\;J:\Sectores de inicio/UEFI;J:\;K:\Sectores de inicio/UEFI;K:\;L:\Sectores de inicio/UEFI;L:\
C:\Documents and Settings\All Users\Microsoft\Diagnosis\DownloadedSettings\telemetry.ASM-WindowsDefault.json - no se pudo abrir [4]
C:\Documents and Settings\All Users\Microsoft\Diagnosis\DownloadedSettings\utc.app.json - no se pudo abrir [4]
C:\Documents and Settings\All Users\Microsoft\Diagnosis\events00.rbs - no se pudo abrir [4]
C:\Documents and Settings\All Users\Microsoft\Diagnosis\events01.rbs - no se pudo abrir [4]
C:\Documents and Settings\All Users\Microsoft\Diagnosis\events10.rbs - no se pudo abrir [4]
C:\Documents and Settings\All Users\Microsoft\Diagnosis\events11.rbs - no se pudo abrir [4]
C:\ProgramData\Microsoft\Diagnosis\DownloadedSettings\telemetry.ASM-WindowsDefault.json - no se pudo abrir [4]
C:\ProgramData\Microsoft\Diagnosis\DownloadedSettings\utc.app.json - no se pudo abrir [4]
C:\ProgramData\Microsoft\Diagnosis\events00.rbs - no se pudo abrir [4]
C:\ProgramData\Microsoft\Diagnosis\events01.rbs - no se pudo abrir [4]
C:\ProgramData\Microsoft\Diagnosis\events10.rbs - no se pudo abrir [4]
C:\ProgramData\Microsoft\Diagnosis\events11.rbs - no se pudo abrir [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - no se pudo abrir [4]
C:\System Volume Information\Syscache.hve - no se pudo abrir [4]
C:\System Volume Information\Syscache.hve.LOG1 - no se pudo abrir [4]
C:\System Volume Information\Syscache.hve.LOG2 - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\Catalog\BackupGlobalCatalog - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\Catalog\GlobalCatalog - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{3471e8be-297c-40c9-8121-1525877a47ab} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{52cb5b89-17e2-4ad6-96fb-d48178aedd0d} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{5bfb1e5e-e842-4f7b-870b-fe9cd164b393} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{5d38c0fc-a9cb-4e56-ba39-4be82f56262e} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{648f88c6-1e65-47e1-93e7-5a4fc2c88c14} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{658b61b8-fa8a-4a2f-82ac-dc055d98324a} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{7570ee4d-20c0-4841-b3db-f13190e9299e} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{772edde3-3743-439a-b35a-ded3b273b109} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{a51a5032-2e62-4a8b-a906-6769957d32fd} - no se pudo abrir [4]
C:\System Volume Information\WindowsImageBackup\SPPMetadataCache\{b53beb21-4e6d-41d0-95b5-09b8b105b6d9} - no se pudo abrir [4]
C:\System Volume Information\{22ae0ad6-1d5a-11e9-9a0a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{591cb836-1a2c-11e9-8177-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{75d3528a-1d4f-11e9-82d1-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\System Volume Information\{8ca840e7-1996-11e9-9600-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
C:\Users\All Users\Microsoft\Diagnosis\DownloadedSettings\telemetry.ASM-WindowsDefault.json - no se pudo abrir [4]
C:\Users\All Users\Microsoft\Diagnosis\DownloadedSettings\utc.app.json - no se pudo abrir [4]
C:\Users\All Users\Microsoft\Diagnosis\events00.rbs - no se pudo abrir [4]
C:\Users\All Users\Microsoft\Diagnosis\events01.rbs - no se pudo abrir [4]
C:\Users\All Users\Microsoft\Diagnosis\events10.rbs - no se pudo abrir [4]
C:\Users\All Users\Microsoft\Diagnosis\events11.rbs - no se pudo abrir [4]
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl - no se pudo abrir [4]
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagtrack-Listener.etl - no se pudo abrir [4]
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl - no se pudo abrir [4]
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl - no se pudo abrir [4]
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl - no se pudo abrir [4]
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl - no se pudo abrir [4]
C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl - no se pudo abrir [4]
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB00e6f6d8#\b084a90e9190e9f2ed1cc4c6d855304f\Avira.GameBooster.UI.Views.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB038da92b#\7371b8a2b97c7337b2a7afac7d7738b3\Avira.GameBooster.UI.Common.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB09014c27#\1f8cc5d32bc064dda005661062a4db2a\Avira.GameBooster.Infrastructure.Presentation.ViewModel.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB15d401b7#\221ceb83b3b74c69eb9a216662c6480a\Avira.GameBooster.Core.Service.Interface.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB2729e2e2#\8eb2a5e4f031e06d3ce7dc3aab621452\Avira.GameBooster.UI.Styles.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB28288797#\0cd0fee96a2d6ff91f6b5d067b68a9a0\Avira.GameBooster.UI.ViewModels.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB378ee63f#\12c130318b6441946ff62adddf0303eb\Avira.GameBooster.UI.Resources.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB65677a4a#\998a54e9acf14fdb2f2e313262fc6c58\Avira.GameBooster.Infrastructure.Exception.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameB943d9f8b#\d1f4544a6e698bb89620cc257e09d827\Avira.GameBooster.Infrastructure.Presentation.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBce1839aa#\d8ef44521ed4712cd2e07d60f8e0738b\Avira.GameBooster.Core.Host.Database.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBd27ef850#\941171d2a1661ecf17b959901c45b456\Avira.GameBooster.Infrastructure.Common.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBd4de60db#\ca99874cb3aca12e9847bfd1cd5c03a0\Avira.GameBooster.Core.CommonUtils.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBda790c5c#\510f450cd91eede2dbbd4ee388217679\Avira.GameBooster.Core.Service.ni.dll = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\Windows\assembly\NativeImages_v4.0.30319_32\Avira.GameBdf351f1c#\a4504d65b3eddfd5c5b80d6740746b8f\Avira.GameBooster.UI.Application.ni.exe = CRYPTOOBFUSCATOR = deobfuscated.exe - archivo comprimido dañado
C:\hiberfil.sys - no se pudo abrir [4]
C:\pagefile.sys - no se pudo abrir [4]
D:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{89cd17fc-0e65-11e9-8462-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{89cd18b4-0e65-11e9-8462-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{89cd19f2-0e65-11e9-8462-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{8aa6489e-101d-11e9-ac07-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{b4cc8afd-09cd-11e9-8983-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{b4cc8b6d-09cd-11e9-8983-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{b4cc8c90-09cd-11e9-8983-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
D:\System Volume Information\{bec1422d-08f6-11e9-8fc8-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
 en el sector de inicio de E: - no se pudo abrir [4]
F:\System Volume Information\{1c56e6df-17d0-11e9-86fb-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{1c56e835-17d0-11e9-86fb-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{288e45cb-142b-11e9-a56a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{288e466a-142b-11e9-a56a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{288e469e-142b-11e9-a56a-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{34d8af27-14f7-11e9-a581-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{34d8b142-14f7-11e9-a581-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{591cb872-1a2c-11e9-8177-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{6ae58cd5-135f-11e9-a63e-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{6ae58d99-135f-11e9-a63e-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
F:\System Volume Information\{e634a2ea-18a8-11e9-bfdb-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
G:\System Volume Information\{34d8b0d9-14f7-11e9-a581-001b215e8428}{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
G:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - no se pudo abrir [4]
 en el sector de inicio de H: - no se pudo abrir [4]
 en el sector de inicio de I: - no se pudo abrir [4]
 en el sector de inicio de J: - no se pudo abrir [4]
 en el sector de inicio de K: - no se pudo abrir [4]
 en el sector de inicio de L: - no se pudo abrir [4]
Cantidad de objetos analizados: 247676
Cantidad de amenazas detectadas: 0
Hora de finalización: 13:44:49  Tiempo total de análisis: 514 seg (00:08:34)

Notas:
[4] No se ha podido abrir el objeto. Podría estar en uso por otra aplicación o el sistema operativo.

Oh nooo… otra vez todos los ficheros borrados y también la copia de seguridad. Esta vez es peor porque me ha borrado también las copias de los ficheros en la red. Es desesperante :sob: No sé si la única opción es comprar un PC nuevo… Compré el disco duro nuevo cuando empezó a pasarme esto y no me ha servido de nada hacer una instalación limpia de todos los programas en un disco nuevo.

Hola @anliva

Mil disculpas por la demora en responderte en mi pueblo estamos con serios problemas de internet.

Evidentemente no es un problema de disco.

El análisis de Nod no muestra ninguna detección.

Solo tú tienes acceso a ese equipo?

Que tipo de red usas? Es compartida.

Tienes instalado programas de acceso remoto?

Yo probaría de la siguiente manera:

Desconectar los discos que sean externos.

Cambiar las claves de Modem/routers si es necesario contactando de con tu empresa de internet.

Formatear todo el disco a bajo nivel eliminando todas las particiones y instalaría alguna distro Linux como Ubuntu por ser más amigable solo por un tiempo.

Sé que es muy radical pero debería ser efectivo.

Saludos

Gracias Sandra por tu interés. El PC lo uso yo solo pero es el que tengo en el trabajo (de ahí la copia de los ficheros que tenía en la red). Lo quería intentar arreglar por mi cuenta para evitar suspicacias de qué páginas he visitado o qué programas me he descargado. Realmente aquí en el trabajo nunca he visitado “páginas de riesgo”… un par de programas con crack había instalado eso sí, pero ahora prácticamente nada. Nunca pulso en links que llegan por mail o abro adjuntos de gente desconocida. Finalmente y dado que por primera vez me borró ficheros de la red he tenido que comunicarlo y me han desconectado primero de la red y ayer han estado mirando aunque tampoco han encontrado nada de momento… es raro raro. Si al final encuentran algo lo comunicaré para ayudar a alguien que pueda tener un problema similar.

Hola:

No recordaba que era laboral :thinking:

Perfecto es lo que tenían que hacer ya que el problema se replicará en toda la red.

Un comentario como empresa deberían tener soluciones antivirus de pago con mayor protección anti-rasomware, además de herramientas como Malwarebytes Premium para empresas pero pagando por ellas y no usar software pirata o gratuito.

Cualquier novedad que tengas te esperamos por aquí para saber cómo resolvieron el problema.

Saludos

Retomo el tema por si alguien puede tener una idea y porque hay novedades. Respecto a la última respuesta que recibí aquí tengo que decir que la empresa tiene antivirus de pago: Sophos pero no lo detecta al igual que ningún otro antivirus. La gran novedad es que hartos de que cada mes y medio o 2 meses me borrara todos los ficheros compramos un ordenador nuevo hace un mes. La sorpresa es cuando la semana pasada me volvió a pasar los mismo y se borraron los ficheros locales y muchos de red. Llegamos a pensar que el virus o lo que fuese estaría en la bios del antiguo PC y por eso lo de cambiar de pc. Ahora estamos alucinados de que siga pasando en el pc nuevo.

Hola @anliva

No puedo creer que aun siga pasando!!

Lo que yo intuyo es que o es algo que tu instalas, o algo que esta en la red, como fue anteriormente el Gusano Conficker.

Ahora me pregunto, no le pasa a ninguno de los otros equipos de la red?

En que Sistema Operativo corre el Servidor?

Cuantos equipos constituyen la red? Y que Sistema Operativo tienen?

Conectaste tus USB allí?

Tienes algún equipo personal en tu casa que tenga algún problema?

Tratare de consultar buscando información pero debo decirte que no debemos dar soporte a empresas, ya que estas tienen personal para ello como tu lo comentaste.

Salu2

No le pasa a los otros equipos de la misma red. Todo es Windows aunque hay equipos en Windows 7 y otros en Windows 10. Hay como 10 equipos. Trabajo con 2 pendrive pero están formateados y les pasé en su día el usb fix. Nunca ha habido detecciones. Tengo un portátil del trabajo en casa con los mismos programas y algunos más y sin problema desde el primer día.

Buenas!

Yo estoy trabajando tan normal y de pronto me doy cuenta porque desaparecen todos los iconos del escritorio. Después me dice el avira intento de acceso al hosts bloqueado y a continuación se me empiezan a cerrar todos los programas abiertos y dice apagando el equipo.

Te recomendaria que sigas usando avira, y una vez que salga esa alerta nuevamente (esperemos que no obvimanente) sacarle una captura, con el movil lo mas rapido posible.

Varias preguntas. Tienes completamente actualizado el Windows 7 (eso es importantisimo)? Has cambiado tu clave de Windows desde que esto sucede? La pc esta unida a algun dominio (Active Directory)? Tienes direccion IP Publica?

Yo formatearia la pc nuevamente y sin conectar a la red (directamente desconecta el cable), configuraria el firewall de windows, (bloquear el puerto 445,139 y 3389 para la entrada), deshabilitaria la comparticion de carpetas, la administracion remota, y recien ahi la conectaria a Internet para actualizar completamente. Obviamente cambiaria las claves de los Windows y usaria los instaladores bajadas en otra PC.

Saludos

1 me gusta

Esa situación se daba al principio, ahora ya no se apaga el PC. Tampoco tengo avira instalado porque la empresa paga por Sophos… no obstante he instalado otros antivirus como eset, adaware, malwarebytes, etc y ninguno detecta nada. El PC lo he cambiado y ahora corre con Windows10 profesional y está actualizado. La IP es dinámica pero estoy conectado (ahora mismo desconectado) a un dominio y grupo de trabajo de la empresa.

Hola @anliva

Mira si no se replica por la red a los otros ordenadores, no tienes problemas con tu equipo personal. da a pensar mal, tienes algún tipo de intrusión.

Yo probaría con todo lo que te dejo indicado @Hardrive:

Si tu no sabes como, seguramente la gente de Sistemas si debería saberlo.

Salu2

Un mensaje ha sido separado a un nuevo tema: Se me borrar todos los archivos