Security Essentials puso en cuarentena un troyano

Hay una carpeta llamada SysWOW64 y he leido en el foro que es sinonimo de virus o algo parecido no?

Hola,

Pega el reporte generado de Malwarebytes desde el apartado Informes dentro de su programa para revisarlo y darte mas pasos .

Saludos.

1 me gusta

1er análisis

-Detalles del registro-
Fecha del análisis: 19/12/18
Hora del análisis: 23:57
Archivo de registro: ef6624bc-0402-11e9-bccb-001fd06889c4.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.463
Versión del paquete de actualización: 1.0.8399
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: USUARIO-PC\USUARIO

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 298491
Amenazas detectadas: 64
Amenazas en cuarentena: 64
Tiempo transcurrido: 58 min, 29 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 15
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRTSTUB.EXE, En cuarentena, [6441], [249448],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE, En cuarentena, [6441], [249729],1.0.8399
PUP.Optional.SearchManager, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\NAHHMPBCKPGDIDFNMFKFGIFLPJIJILCE, En cuarentena, [258], [476595],1.0.8399
PUP.Optional.SearchManager, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\nahhmpbckpgdidfnmfkfgiflpjijilce, En cuarentena, [258], [476595],1.0.8399
PUP.Optional.SearchManager, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\PILPLLOABDEDFMIALNFCHJOMJMPJCOEJ, En cuarentena, [258], [260991],1.0.8399
PUP.Optional.SearchManager, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\pilplloabdedfmialnfchjomjmpjcoej, En cuarentena, [258], [260991],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMGUI.EXE, En cuarentena, [6441], [249397],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE, En cuarentena, [6441], [381058],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMGUI.EXE, En cuarentena, [6441], [249397],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE, En cuarentena, [6441], [381058],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRTSTUB.EXE, En cuarentena, [6441], [249448],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE, En cuarentena, [6441], [249729],1.0.8399
PUP.Optional.WinYahoo.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{0EEB3E26-77AF-43C7-1DC1-1BE6B04CC998}\updtask, En cuarentena, [3735], [518229],1.0.8399
PUP.Optional.WinYahoo.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F23C1E79-C971-4A36-9F6B-9F4C11B5C91C}, En cuarentena, [3735], [518229],1.0.8399
PUP.Optional.WinYahoo.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{F23C1E79-C971-4A36-9F6B-9F4C11B5C91C}, En cuarentena, [3735], [518229],1.0.8399

Valor del registro: 10
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRTSTUB.EXE|DEBUGGER, En cuarentena, [6441], [249448],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE|DEBUGGER, En cuarentena, [6441], [249729],1.0.8399
PUP.Optional.SearchManager, HKU\S-1-5-21-3051828015-3705477803-300291213-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|NAHHMPBCKPGDIDFNMFKFGIFLPJIJILCE, En cuarentena, [258], [476595],1.0.8399
PUP.Optional.SearchManager, HKU\S-1-5-21-3051828015-3705477803-300291213-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|PILPLLOABDEDFMIALNFCHJOMJMPJCOEJ, En cuarentena, [258], [260991],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMGUI.EXE|DEBUGGER, En cuarentena, [6441], [249397],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE|DEBUGGER, En cuarentena, [6441], [381058],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MBAMGUI.EXE|DEBUGGER, En cuarentena, [6441], [249397],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE|DEBUGGER, En cuarentena, [6441], [381058],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRTSTUB.EXE|DEBUGGER, En cuarentena, [6441], [249448],1.0.8399
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\RSTRUI.EXE|DEBUGGER, En cuarentena, [6441], [249729],1.0.8399

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 8
Rogue.Multiple, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\ROAMING\372649737, En cuarentena, [693], [170100],1.0.8399
Backdoor.BetaBot.MSIL, C:\PROGRAMDATA\GOOGLE UPDATER 2.0, En cuarentena, [1072], [378613],1.0.8399
PUP.Optional.DriverToolkit, C:\Program Files (x86)\DriverToolkit\Download, En cuarentena, [957], [512876],1.0.8399
PUP.Optional.DriverToolkit, C:\Program Files (x86)\DriverToolkit\Backup, En cuarentena, [957], [512876],1.0.8399
PUP.Optional.DriverToolkit, C:\PROGRAM FILES (X86)\DRIVERTOOLKIT, En cuarentena, [957], [512876],1.0.8399
PUP.Optional.InstallCore.Generic, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\TEMP\DMGR1.25, En cuarentena, [6125], [509535],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}, En cuarentena, [725], [542290],1.0.8399

Archivo: 31
PUP.Optional.SearchManager, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [476595],1.0.8399
PUP.Optional.SearchManager, C:\USERS\USUARIO.USUARIO-PC.000\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [476595],1.0.8399
PUP.Optional.SearchManager, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [260991],1.0.8399
PUP.Optional.SearchManager, C:\USERS\USUARIO.USUARIO-PC.000\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [260991],1.0.8399
PUP.Optional.InstallCore.Generic, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\TEMP\DMGR1.25\DMGR1.25_0M0P0C0P1V0F0S1.25.exe, En cuarentena, [6125], [509535],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\PROGRAMDATA\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HOWTOREMOVE\HOWTOREMOVE.HTML, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\chromium-min.jpg, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\control panel-min-min.JPG, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\down.png, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\ff menu.JPG, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\ff search engine-min.png, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\hp-min ff.png, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\hp-min ie.png, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\search engine.gif, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\setup pages.gif, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\sp-min.png, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\start-min.jpg, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\HowToRemove\up.png, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\nonasofe, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.TskLnk, C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\{BE0F8853-9AA7-E4EB-F73F-C103D3573D9B}\uninst.exe, En cuarentena, [725], [542290],1.0.8399
PUP.Optional.WinYahoo.Generic, C:\WINDOWS\SYSTEM32\TASKS\{0EEB3E26-77AF-43C7-1DC1-1BE6B04CC998}\updtask, En cuarentena, [3735], [518229],1.0.8399
PUP.Optional.InstallCore, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\TEMP\CUP\CHROMIUMSETUP.EXE, En cuarentena, [411], [546073],1.0.8399
HackTool.FilePatch, C:\PROGRAM FILES\DAEMON TOOLS ULTRA\DAEMON.TOOLS.ULTRA.V.5.0.0.0540.X64-PATCH.EXE, Se eliminará al reiniciar, [7805], [281135],1.0.8399
PUP.Optional.ByteFence, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\TEMP\TMPSEC6372842\BYTEFENCE-INSTALLER-5.3.0.39.EXE, En cuarentena, [5945], [389016],1.0.8399
PUP.Optional.SearchManager, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [501411],1.0.8399
PUP.Optional.SearchManager, C:\USERS\USUARIO.USUARIO-PC.000\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [501411],1.0.8399
PUP.Optional.SearchManager, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [501411],1.0.8399
PUP.Optional.SearchManager, C:\USERS\USUARIO.USUARIO-PC.000\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [258], [501411],1.0.8399
PUP.Optional.SrchBar, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [255], [454807],1.0.8399
PUP.Optional.SrchBar, C:\USERS\USUARIO.USUARIO-PC.000\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sustituido, [255], [454807],1.0.8399

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

2do

-Detalles del registro-
Fecha del análisis: 20/12/18
Hora del análisis: 1:39
Archivo de registro: 4b2b3112-0411-11e9-a2cc-001fd06889c4.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.463
Versión del paquete de actualización: 1.0.8401
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: USUARIO-PC\USUARIO

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 298938
Amenazas detectadas: 5
Amenazas en cuarentena: 5
Tiempo transcurrido: 1 hr, 3 min, 33 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 2
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE, En cuarentena, [6441], [381058],1.0.8401
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE, En cuarentena, [6441], [381058],1.0.8401

Valor del registro: 2
RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE|DEBUGGER, En cuarentena, [6441], [381058],1.0.8401
RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\MRT.EXE|DEBUGGER, En cuarentena, [6441], [381058],1.0.8401

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
RiskWare.HeuristicsReservedWordExploit, C:\USERS\EZEQUIEL ROLóN GAMING PC & EDITION\APPDATA\LOCAL\TEMP\SVHOST.EXE, En cuarentena, [5724], [245923],1.0.8401

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Actualmente hay un análisis corriendo hace 3 horas (por el momento 0 amenazas encontradas)

Cancela ese analisis, realizaremos un analisis con mas profundidad.

Descarga los siguientes programas y dejalos en el escritorio:

:one:

  • Ejecuta como admnistrador Rkill
  • Se abrira una consola similar a CMD
  • Deja que trabaje de 2 a 5 minutos
  • Pega el reporte que esta dentro de Rkill.txt guardado en el escritorio. :warning: No reinicies el PC al terminar, y sigue con MBAM anti-rootkit :warning:

:two:

Espero sus reportes y respetivos comentarios si aun sigue detectando. Saludos.

1 me gusta

Se esta ejecutando el análisis del rkill, escribí esas ip y pertenecen a Alemania, USA, …esto da un poco de miedo, volveré a escribir cuando ya este el del mbam

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2018 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 12/20/2018 10:40:29 PM in x64 mode.
Windows Version: Windows 7 Professional Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * C:\Windows\SysWOW64\ASGT.exe (PID: 1584) [WD-HEUR]
 * C:\Users\USUARI~1.000\AppData\Local\Temp\A~NSISu_.exe (PID: 5768) [SUP-HEUR]
 * C:\Users\USUARI~1.000\AppData\Local\Temp\A~NSISu_.exe (PID: 5768) [T-HEUR]

3 proccesses terminated!

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Policies\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * HOSTS file entries found: 

  127.0.0.1                   75.126.120.203
  127.0.0.1                   46.4.58.71
  127.0.0.1                   46.4.62.150
  127.0.0.1                   46.4.28.80

Program finished at: 12/20/2018 10:43:27 PM
Execution time: 0 hours(s), 2 minute(s), and 58 seconds(s)

Espero el reporte de Malwarebytes antirootkit.

Envuelve cada uno de los informes con una etiqueta escrita CODE_Inicial al inicio del informe y otra como este CODE_Final al final del mismo.

Saludos.

(post anterior eliminado debido a una copia errónea del archivo que me dejo malware)


Scan started
Database versions:
  main:    v2018.12.20.10
  rootkit: v2018.12.20.10

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xfffffa80027cd060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa80027cdb20, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa80027cd060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa80023cc9b0, DeviceName: Unknown, DriverName: \Driver\ACPI\
DevicePointer: 0xfffffa8002371060, DeviceName: \Device\Ide\IdeDeviceP1T0L0-2\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: C0ED0

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 2048  Numsec = 204800
    Partition is bootable
    Partition file system is NTFS

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 206848  Numsec = 976560128
    Partition is not bootable
    Partition file system is NTFS

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

Disk Size: 500106780160 bytes
Sector size: 512 bytes

Done!
File "C:\ProgramData\Microsoft\Microsoft Antimalware\Scans\mpcache-9E2EE1519B8771A1E9922EA767B6DC50F441BD0C.bin.79" is compressed (flags = 1)
File "C:\ProgramData\Microsoft\Microsoft Antimalware\Scans\mpcache-9E2EE1519B8771A1E9922EA767B6DC50F441BD0C.bin.7C" is compressed (flags = 1)
File "C:\ProgramData\Microsoft\Microsoft Antimalware\Scans\mpcache-9E2EE1519B8771A1E9922EA767B6DC50F441BD0C.bin.83" is compressed (flags = 1)
Scan finished
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-0-2048-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-1-206848-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-r.mbam...
Removal finished

Security essentials acaba de bloquear un nuevo troyano (trojan:Win32/Vigorf.A)

Hola chicos y permiso:

@Ezerolon1999:

Abre Windows Security Essentials busca en su cuarentena, toma una imagen o pega la ruta de lo que detecto, pues no podemos andar adivinando.

Como subir imágenes al Foro?

Ademas comenta si ya has podido entrar a tu cuenta o si sigues con un perfil temporal?

Todavía no se ha perdido, ya veremos.

Espero tus respuestas.

Salu2

Hola @Ezerolon1999:

Por alguna razón eliminaste tu post donde colocaste la ubicacion de lo detectado???

No necesitas mas ayuda?

Nos comentas.

Salu2.

1 me gusta

Inicio la sesión como si fuera recién salida de fabrica, yo tenia un fondo con la bandera argentina y japonesa fusionadas, muchos archivos de fl studio, ableton, fotos de grabaciones en vivo y demás cosas… (te informo que tengo otro disco duro donde están las cosas realmente importantes proyectos finales y grabaciones a poco de ser terminadas, analice el mismo disco y esta completamente sano) también el rkill siempre detecta el proceso desde esta ruta

  • C:\Windows\SysWOW64\ASGT.exe (PID: 1932) [WD-HEUR]

junto con

75.126.120.203

46.4.58.71

46.4.62.150

46.4.28.80

direcciones ip pertenecientes a empresas yankees y alemanas creo que de esta forma debía haberme expresado, pero la mezcla del miedo de estar siendo “espiado” de perder un disco que ni siquiera tiene un año de uso…

Logre restaurar el sistema al dia 16/12/2018 (mucho antes de que todo empeorara, ahora estoy pensando en bajar una iso oficial desde microsoft, ya que estoy decidido a borrar todo del disco (formatear) e incluao hasta instalar algun linux para navegar y descargar cosas desde internet, este proceso es muy pesado…

Hola:

Cuando pides ayuda, debes esperar a que te den los pasos no era necesario ni que restauraras, ni que Formatees.

Tienes un troyano o tenias y solo hay que eliminarlos.

Nos comentas si estas decidido a hacer un proceso de desinfección paso a paso.

Salu2

1 me gusta

Si por favor, solo explicame bien que hacer, tuve que restaurarlo ya que no podia entrar a ningun lado, ni a firefox ni al malware, entonces busque en servicios y detuve el ejecutable que cancelaba los procesos de seguridad, fui a restaurar sistema y ahora si podre hacer lo que sea que me pidas, si vos me ayudas genial, me ahorraras guita en un tecnico…(tengo un limite en respuestas)

Hola @Ezerolon1999:

Comencemos de nuevo:

Realiza los siguientes pasos, sin cambiar el orden:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza las siguientes herramientas:

3.- Luego respetando el orden:

Malwarebytes Anti Rootkits

Instalalo y actualizalo. Realiza un Análisis Completo de acuerdo a su Manual.

[color=black][size=2]AdwCleaner[/size][/color]

Ejecutalo.(Clic derecho y selecciona Ejecutar como Administrador). Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar. Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas. Guardas el reporte que te aparecerá para copiarlo y pegarlo en tu próxima respuesta. El informe también se puede encontrar en “C:\AdwCleaner\AdwCleaner.txt”

[size=2][color=black]ZHPCleaner[/color][/size]

Siguiendo su manual, lo instalas y ejecutas. Cuando termine, eliminas todo lo que encuentre.

Nota Importante:

En tu próxima respuesta debes pegar los reportes de Malwarebytes, AdwCleaner y ZHPCleaner.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte y no olvides comentar como va el problema.

Salu2

1 me gusta
Malwarebytes Anti-Rootkit BETA 1.10.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 6.1.7601 Windows 7 Service Pack 1 x64

Account is Administrative

Internet Explorer version: 11.0.9600.18837

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 2.000000 GHz
Memory total: 2147016704, free: 356286464

Downloaded database version: v2018.12.22.03
Downloaded database version: v2018.12.22.03
Downloaded database version: v2018.01.20.01
=======================================
Initializing...
Driver version: 4.3.0.15
------------ Kernel report ------------
     12/22/2018 03:42:42
------------ Loaded modules -----------
\SystemRoot\system32\ntoskrnl.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\ACPI.sys
\SystemRoot\system32\drivers\WMILIB.SYS
\SystemRoot\system32\drivers\msisadrv.sys
\SystemRoot\system32\drivers\pci.sys
\SystemRoot\system32\drivers\vdrvroot.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\system32\drivers\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\system32\drivers\intelide.sys
\SystemRoot\system32\drivers\PCIIDEX.SYS
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\drivers\atapi.sys
\SystemRoot\system32\drivers\ataport.SYS
\SystemRoot\system32\drivers\amdxata.sys
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\msrpc.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\System32\Drivers\cng.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\system32\drivers\vmstorfl.sys
\SystemRoot\system32\drivers\volsnap.sys
\SystemRoot\System32\Drivers\spldr.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\hwpolicy.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\system32\drivers\disk.sys
\SystemRoot\system32\drivers\CLASSPNP.SYS
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\system32\drivers\rdprefmp.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\wfplwf.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\vwififlt.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\System32\drivers\discache.sys
\SystemRoot\system32\drivers\csc.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\blbdrive.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\nvlddmkm.sys
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\dxgmms1.sys
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\Rt64win7.sys
\SystemRoot\system32\drivers\usbuhci.sys
\SystemRoot\system32\drivers\USBPORT.SYS
\SystemRoot\system32\drivers\usbehci.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\parport.sys
\SystemRoot\system32\DRIVERS\i8042prt.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\CompositeBus.sys
\SystemRoot\system32\DRIVERS\ioFakDrv.sys
\SystemRoot\system32\DRIVERS\ioFakMap.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\system32\DRIVERS\AgileVpn.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\rassstp.sys
\SystemRoot\system32\DRIVERS\rdpbus.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\umbus.sys
\SystemRoot\system32\drivers\nvvad64v.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\drivers\ksthunk.sys
\SystemRoot\system32\drivers\usbhub.sys
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\nvhda64v.sys
\SystemRoot\system32\drivers\HdAudio.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_dumpata.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\system32\DRIVERS\monitor.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\gKbdfltr.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\DRIVERS\lltdio.sys
\SystemRoot\system32\DRIVERS\nwifi.sys
\SystemRoot\system32\DRIVERS\ndisuio.sys
\SystemRoot\system32\DRIVERS\rspndr.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\system32\drivers\peauth.sys
\??\C:\Windows\SysWOW64\speedfan.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\System32\drivers\tcpipreg.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\DRIVERS\srv.sys
\??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys
\SystemRoot\system32\DRIVERS\rtwlanu.sys
\SystemRoot\system32\DRIVERS\vwifibus.sys
\??\C:\Windows\system32\drivers\mbamchameleon.sys
\SystemRoot\system32\drivers\spsys.sys
\??\C:\Windows\system32\drivers\4515B644.sys
\Windows\System32\ntdll.dll
\Windows\System32\smss.exe
\Windows\System32\apisetschema.dll
\Windows\System32\autochk.exe
\Windows\System32\iertutil.dll
\Windows\System32\advapi32.dll
\Windows\System32\imagehlp.dll
\Windows\System32\gdi32.dll
\Windows\System32\shlwapi.dll
\Windows\System32\msctf.dll
\Windows\System32\lpk.dll
\Windows\System32\shell32.dll
\Windows\System32\ws2_32.dll
\Windows\System32\setupapi.dll
\Windows\System32\kernel32.dll
\Windows\System32\urlmon.dll
\Windows\System32\oleaut32.dll
\Windows\System32\Wldap32.dll
\Windows\System32\wininet.dll
\Windows\System32\ole32.dll
\Windows\System32\usp10.dll
\Windows\System32\nsi.dll
\Windows\System32\user32.dll
\Windows\System32\msvcrt.dll
\Windows\System32\imm32.dll
\Windows\System32\difxapi.dll
\Windows\System32\psapi.dll
\Windows\System32\comdlg32.dll
\Windows\System32\rpcrt4.dll
\Windows\System32\normaliz.dll
\Windows\System32\sechost.dll
\Windows\System32\clbcatq.dll
\Windows\System32\api-ms-win-downlevel-user32-l1-1-0.dll
\Windows\System32\wintrust.dll
\Windows\System32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
\Windows\System32\devobj.dll
\Windows\System32\userenv.dll
\Windows\System32\comctl32.dll
\Windows\System32\api-ms-win-downlevel-normaliz-l1-1-0.dll
\Windows\System32\api-ms-win-downlevel-version-l1-1-0.dll
\Windows\System32\api-ms-win-downlevel-ole32-l1-1-0.dll
\Windows\System32\cfgmgr32.dll
\Windows\System32\api-ms-win-downlevel-advapi32-l1-1-0.dll
\Windows\System32\KernelBase.dll
\Windows\System32\crypt32.dll
\Windows\System32\msasn1.dll
\Windows\System32\profapi.dll
----------- End -----------
Done!

Scan started
Database versions:
  main:    v2018.12.22.03
  rootkit: v2018.12.22.03

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xfffffa8002815290, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
--------- Disk Stack ------
DevicePointer: 0xfffffa8002816040, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xfffffa8002815290, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
DevicePointer: 0xfffffa80022ec520, DeviceName: Unknown, DriverName: \Driver\ACPI\
DevicePointer: 0xfffffa80022f2060, DeviceName: \Device\Ide\IdeDeviceP1T0L0-1\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: C0ED0

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 2048  Numsec = 204800
    Partition is bootable
    Partition file system is NTFS

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 206848  Numsec = 976560128
    Partition is not bootable
    Partition file system is NTFS

    Partition 2 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

Disk Size: 500106780160 bytes
Sector size: 512 bytes

Done!
Scan finished
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-0-2048-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-1-206848-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-r.mbam...
Removal finished

    # -------------------------------
# Malwarebytes AdwCleaner 7.2.6.0
# -------------------------------
# Build:    12-18-2018
# Database: 2018-12-21.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    12-22-2018
# Duration: 00:01:34
# OS:       Windows 7 Professional
# Scanned:  32227
# Detected: 7


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.Legacy             C:\Users\Ezequiel Rolón Gaming PC & Edition\AppData\Local\DriverToolkit

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.DynamicPricer      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UpdateChecker
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|Codec Settings UAC Manager
PUP.Winlogon.Heuristic          HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit

***** [ Chromium (and derivatives) ] *****

PUP.Optional.Unseen             iicapmagmhahddefgokbabbgieiogjop

***** [ Chromium URLs ] *****

PUP.Optional.Legacy             http://www.searchgol.com/?babsrc=HP_ss&mntrId=D076001C25E534C6&affID=124798&tsp=5021
PUP.Optional.Legacy             http://www.searchgol.com/?babsrc=HP_ss_Btisdt7&mntrId=D076001C25E534C6&affID=124798&tsp=5021

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########


~ ZHPCleaner v2018.12.19.207 by Nicolas Coolman (2018/12/19) ~ Run by USUARIO (Administrator) (22/12/2018 05:28:00) ~ Web: https://www.nicolascoolman.com ~ Blog: https://nicolascoolman.eu/ ~ Facebook : https://www.facebook.com/nicolascoolman1 ~ State version : Version OK ~ Certificate ZHPCleaner: Legal ~ Type : Reparar ~ Report : C:\Users\USUARIO\Desktop\ZHPCleaner.txt ~ Quarantine : C:\Users\USUARIO\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt ~ UAC : Activate ~ Boot Mode : Normal (Normal boot) Windows 7 Professional, 64-bit Service Pack 1 (Build 7601) **---\ Alternate Data Stream (ADS). (0)** ~ No malintencionados o innecesarios artículos encontrados. (ADS) **---\ Servicios (0)** ~ No malintencionados o innecesarios artículos encontrados. (Servicio) **---\ Navegadores de Internet (0)** ~ No malintencionados o innecesarios artículos encontrados. (Navegador) **---\ Hosts carpeta (1)** ~ El archivo hosts es legítimo (13) **---\ Tareas automáticas programadas. (0)** ~ No malintencionados o innecesarios artículos encontrados. (Tarea) **---\ Explorador ( Archivos, Carpetas ) (49)** MOVIDO carpeta: C:\Windows\Installer\MSI2852.tmp [ - CustomActionManaged] =&gt;.SUP.MSIInstaller MOVIDO carpeta: C:\Users\USUARIO\Downloads\Ignacio Copani - El Más Grande (Himno De River Plate) VkontakteDJ.exe =&gt;.SUP.VkontakteDJ MOVIDO carpeta: C:\Users\USUARIO\AppData\Local\Temp\Uninstall.exe =&gt;PUP.Optional.Generic MOVIDO archivo: C:\Program Files (x86)\Mirillis =&gt;.SUP.Empty MOVIDO archivo: C:\ProgramData\VkontakteDJ =&gt;.SUP.VkontakteDJ MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Temp\scoped_dir2528_14453 =&gt;.SUP.Temporary.Steam MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Temp\scoped_dir2528_24116 =&gt;.SUP.Temporary.Steam MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Temp\scoped_dir2528_4002 =&gt;.SUP.Temporary.Steam MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Temp\scoped_dir2528_4816 =&gt;.SUP.Temporary.Steam MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\000 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\001 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\002 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\003 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\004 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\005 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\006 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\007 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\File System\008 =&gt;.SUP.Temporary.Chrome MOVIDO archivo: C:\Program Files (x86)\QuickTime =&gt;Riskware.QuickTime MOVIDO archivo: C:\Windows\Installer\MSI1F75.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI2A63.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI30AB.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI3A7C.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI409.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI4AF9.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI4E25.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI4E99.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI5374.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI5D77.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI60C3.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI647A.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI6D28.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI75C1.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI85F0.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI8C95.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI8EC8.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI9444.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI955.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSI9591.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIAAF7.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIB036.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIB585.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIB8E.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSICB2E.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSID637.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIDE35.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIE104.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIF0A7.tmp- =&gt;.SUP.Empty MOVIDO archivo: C:\Windows\Installer\MSIFE9B.tmp- =&gt;.SUP.Empty **---\ Registro ( Claves, Valores, Datos) (0)** ~ No malintencionados o innecesarios artículos encontrados. (Register) **---\ Resumen de elementos en su estación de trabajo (7)** https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =&gt;.SUP.MSIInstaller https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =&gt;.SUP.VkontakteDJ https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/ =&gt;PUP.Optional.Generic https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =&gt;.SUP.Empty https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =&gt;.SUP.Temporary.Steam https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =&gt;.SUP.Temporary.Chrome https://nicolascoolman.eu/2017/01/15/riskware-quicktime/ =&gt;Riskware.QuickTime **---\ Limpieza adicional. (1)** ~ Clave de registro Tracing borrados (1) ~ Quitar los antiguos informes de ZHPCleaner. (0) **---\ Resultado de la reparación.** ~ Reparación llevada a cabo con éxito ~ falta este navegador! (Mozilla Firefox) ~ falta este navegador! (Opera Software) **---\ STATISTIQUES** ~ Items escaneado : 604 ~ Items encontrado : 0 ~ artículos cancelados : 0 ~ Items opciones : 12/12 ~ Ahorro de espacio (bytes) : 0 ~ End of clean in 00h00mn13s **---\ Reporte (4)** ZHPCleaner-[S]-22122018-05_01_53.txt ZHPCleaner-[S]-22122018-05_03_09.txt ZHPCleaner-[S]-22122018-05_25_23.txt ZHPCleaner-[R]-22122018-05_28_13.txt

He intentado activar el centro de seguridad de windows pero no ha sido posible, quedo a la espera de mas indicaciones, saludos y gracias por ayudar

Hola:

No te apresures ya llegaremos…:+1:

Primero: Revisa si dentro de la carpeta de Mbar en tu escritorio están los dos archivos como se ve en la imagen ya que pegaste uno y falta el otro.

Luego Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2