Un virus me ha inutilizado mi malwarebites y no lo puedo volver a instalar

Eliminar Malwares
1

Muy buenas. Es la primera vez que escribo. Estoy desesperado! Se que hay temas similares, pero en la solución, especificáis, que cada caso es distinto y por eso, no sé si aplicar la misma solución. Nunca había sufrido un ataque como éste. El navegador no para de abrir ventanas de publicidad y no hay manera de reinstalar Malwarebites, aunque he utilizado las dos herramientas para limpiar a fondo el registro.

2

Hola, buenas @massbateria

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente.

Inicia de nuevo el equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

Realizas lo siguiente:

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Como por ejemplo lo que ya te ha pasado con el Malwarebytes AntiMalware, pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

  1. Descarga IFS

    • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
    • Cierra todos los programas que tengas abiertos.
    • Ejecuta IFS.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
    • Pulsar en el botón Analizar, y espera a que se realice el proceso. Puede tardar varios minutos.
    • Al terminar se abrirá un informe, lo adjuntas en tu próxima respuesta (puedes encontrarlo en C:\IFS.log).

  2. Descarga Adwcleaner en el escritorio.

    • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
    • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
    • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
    • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
    • Si no encuentra nada, pulsa en Omitir Reparación.
    • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
    • Para más información aquí te dejo su manual: Manual de Adwcleaner.

  3. Descarga JunkwareRemoval Tool en el escritorio.

    • Ejecuta JRT.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
    • Presiona cualquier tecla para continuar y espera pacientemente a que termine su proceso.
    • Al finalizar, se guardará el siguiente registro en el escritorio: JRT.txt.

  4. Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

  5. Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes. ¿Como subir imágenes al Foro?

  6. Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente. Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

:two: PRÓXIMA RESPUESTA

Pegas los reportes de RKill, IFS, Adwcleaner, JRT, Eset Online Scaner y Kasperky Virus Removal Tool (captura) y comentas como va el problema.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

3

Hola @Marr0n, No puedo activar el modo seguro, de ninguna de las maneras. Por favor, que hago ahora? No ha funcionado ni el safemode Repair. Muchas gracias de antemano!

4

Hola, buenas @massbateria

OK. Ve al cuadro de búsqueda de Inicio de Windows y escribe cmd clic derecho sobre este y seleccionas Ejecutar como administrador. Allí escribes: bcdedit /set {default} safeboot network y presionas ENTER. Seguidamente, te debería de salir un mensaje parecido a: La operación se completó correctamente.

Reinicias y ya te debería de iniciar en Modo Seguro con Funciones de Red. Si no funciona, haz todo lo que te he dicho, absolutamente todo pero en Modo Normal.

De nada.

Salu2.

1 me gusta
5

Hola @Marr0n Ahora, no sé salir del modo seguro! Ya lo he pasado todo conforme me has dicho, pero no puedo comprobar si va bien, porque sigo en modo seguro

6

Hola, buenas @massbateria

Adjunta por favor todos los reportes que te pedí en:

Y comenta como sigue el problema inicial planteado, ya que ahora no lo has hecho.

Para salir del Modo Seguro, haz lo siguiente:

Ve al cuadro de búsqueda de Inicio de Windows y escribe cmd clic derecho sobre este y seleccionas Ejecutar como administrador. Allí escribes: bcdedit /deletevalue {default} safeboot y presionas ENTER. Seguidamente, te debería de salir un mensaje parecido a: La operación se completó correctamente.

Reinicias y ya te debería de iniciar en Modo Normal como siempre.

Salu2.

7 
Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2021 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 02/11/2021 08:47:03 AM in x64 mode. (Safe Mode)
Windows Version: Windows 7 Ultimate Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * Cannot edit the HOSTS file.
 * Permissions could not be fixed. Use Hosts-perm.bat to fix permissions: http://www.bleepingcomputer.com/download/hosts-permbat/

 * HOSTS file entries found: 

  127.0.0.1	www.007guard.com
  127.0.0.1	007guard.com
  127.0.0.1	008i.com
  127.0.0.1	www.008k.com
  127.0.0.1	008k.com
  127.0.0.1	www.00hq.com
  127.0.0.1	00hq.com
  127.0.0.1	010402.com
  127.0.0.1	www.032439.com
  127.0.0.1	032439.com
  127.0.0.1	www.0scan.com
  127.0.0.1	0scan.com
  127.0.0.1	1000gratisproben.com
  127.0.0.1	www.1000gratisproben.com
  127.0.0.1	1001namen.com
  127.0.0.1	www.1001namen.com
  127.0.0.1	100888290cs.com
  127.0.0.1	www.100888290cs.com
  127.0.0.1	www.100sexlinks.com
  127.0.0.1	100sexlinks.com

  20 out of 15643 HOSTS entries shown.
  Please review HOSTS file for further entries.

Program finished at: 02/11/2021 08:49:20 AM
Execution time: 0 hours(s), 2 minute(s), and 16 seconds(s)
8 
2021-02-10 21:24:54.662   mb-clean:3.1.0.1035  @ Malwarebytes. All rights reserved.
2021-02-10 21:24:55.665   Find Malwarebytes 3 installation location from C:\Program Files\Malwarebytes\Anti-Malware\.
2021-02-10 21:24:56.747   Malwarebytes self-protection module is not installed.
2021-02-10 21:24:56.749   Launching process:C:\Program Files\Malwarebytes\Anti-Malware\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /log="C:\Users\MASSBA~1\AppData\Local\Temp\Mbam3x.log"
2021-02-10 21:24:56.750   Failed to launch C:\Program Files\Malwarebytes\Anti-Malware\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /log="C:\Users\MASSBA~1\AppData\Local\Temp\Mbam3x.log", reason:((error=2))
2021-02-10 21:24:56.750   >>>>>> Starting 2nd phase cleanup for Malwarebytes version 3.x.x.xxxx <<<<<<
2021-02-10 21:24:56.750   HKLM\SYSTEM\CurrentControlSet\Services\ESProtectionDriver does not exist.
2021-02-10 21:24:56.751   HKLM\SYSTEM\CurrentControlSet\Services\MBAMChameleon does not exist.
2021-02-10 21:24:56.751   HKLM\SYSTEM\CurrentControlSet\Services\MBAMFarflt does not exist.
2021-02-10 21:24:56.751   HKLM\SYSTEM\CurrentControlSet\Services\MBAMProtection does not exist.
2021-02-10 21:24:56.752   HKLM\SYSTEM\CurrentControlSet\Services\MBAMService does not exist.
2021-02-10 21:24:56.752   HKLM\SYSTEM\CurrentControlSet\Services\MBAMSwissArmy does not exist.
2021-02-10 21:24:56.752   HKLM\SYSTEM\CurrentControlSet\Services\MBAMWebProtection does not exist.
2021-02-10 21:24:59.704   Trying to delete path C:\ProgramData\Malwarebytes\
2021-02-10 21:24:59.704   Trying to delete file or folder: C:\ProgramData\Malwarebytes\
2021-02-10 21:24:59.710   Trying to delete path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes\
2021-02-10 21:24:59.711   Cannot delete path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes\, reason:((error=3))
2021-02-10 21:24:59.711   Trying to delete path C:\Program Files\Malwarebytes\Anti-Malware\
2021-02-10 21:24:59.712   Trying to delete file or folder: C:\Program Files\Malwarebytes\Anti-Malware\
2021-02-10 21:24:59.712   Failed to delete C:\Program Files\Malwarebytes\Anti-Malware\, reason:((error=145))
2021-02-10 21:24:59.712   Trying to delete file or folder C:\Program Files\Malwarebytes\Anti-Malware\ on reboot
2021-02-10 21:25:13.300   --------END OF LOG FILE ----------
2021-02-10 21:27:18.949   >>>>>Starting post reboot phase cleanup for Malwarebytes version 3.x.x.xxxx <<<<<<<<.
2021-02-10 21:27:19.170   Trying to delete REG key: HKCU\SOFTWARE\Malwarebytes
2021-02-10 21:27:19.170   HKLM\SYSTEM\CurrentControlSet\Services\ESProtectionDriver does not exist.
2021-02-10 21:27:19.170   HKLM\SYSTEM\CurrentControlSet\Services\MBAMChameleon does not exist.
2021-02-10 21:27:19.170   HKLM\SYSTEM\CurrentControlSet\Services\MBAMFarflt does not exist.
2021-02-10 21:27:19.170   HKLM\SYSTEM\CurrentControlSet\Services\MBAMProtection does not exist.
2021-02-10 21:27:19.170   HKLM\SYSTEM\CurrentControlSet\Services\MBAMService does not exist.
2021-02-10 21:27:19.202   HKLM\SYSTEM\CurrentControlSet\Services\MBAMSwissArmy does not exist.
2021-02-10 21:27:19.202   HKLM\SYSTEM\CurrentControlSet\Services\MBAMWebProtection does not exist.
2021-02-10 21:27:21.193   Trying to delete path C:\ProgramData\Malwarebytes\
2021-02-10 21:27:21.193   Cannot delete path C:\ProgramData\Malwarebytes\, reason:((error=3))
2021-02-10 21:27:21.193   Trying to delete path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes\
2021-02-10 21:27:21.193   Cannot delete path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes\, reason:((error=3))
2021-02-10 21:27:21.193   Trying to delete path C:\Program Files\Malwarebytes\Anti-Malware\
2021-02-10 21:27:21.209   Trying to delete file or folder: C:\Program Files\Malwarebytes\Anti-Malware\
2021-02-10 21:27:21.209   Failed to delete C:\Program Files\Malwarebytes\Anti-Malware\, reason:((error=145))
2021-02-10 21:27:21.209   Trying to delete file or folder C:\Program Files\Malwarebytes\Anti-Malware\ on reboot
2021-02-10 21:28:06.273   --------END OF LOG FILE ----------
9 
[B]~~~~~~~~~~~| Inicio: [/B]

*IFS (InfoSpyware First Steps) v 1.3
*www.InfoSpyware.com | www.ForoSpyware.com
*Iniciado: 11/02/2021 a las 09h.00m.55s

[B]~~~~~~~~~~~|  Información del Sistema:[/B]

OS: Microsoft Windows 7 Ultimate  x64 Service Pack 1
Idioma: Spanish (Spain, International Sort) (España|es-ES)
Permisos de Administrador / ON
Windows se Inició en   Modo Seguro con Funciones de Red
Drive: C:\Windows (Install: \Device\HarddiskVolume3)

[B]~~~~~~~~~~~| Arquitectura Fisica:[/B]

CPU: System manufacturer
CPU Modelo: System Product Name
Procesador: AMD A4-5300 APU with Radeon(tm) HD Graphics     (x64-BasedPC)
Memoria RAM: 16 Gb. En Uso: 15 %
Video: NVIDIA GeForce GT 710
Chip: GeForce GT 710 Capacidad video:-2048 MB (Integrated RAMDAC)

[B]~~~~~~~~~~~| Unidades[/B]

C: [FIXED|NTFS|] - [189.8 Gb][21.3 Gb][168.5 Gb]
E: [FIXED|NTFS|NUEVO] - [931.5 Gb][289.9 Gb][641.6 Gb]
D: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
F: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
G: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
H: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
I: [REMOVABLE|NTFS|GRMCULFRER_ES_DVD] - [14.9 Gb][14.1 Gb][0.8 Gb]
J: [REMOVABLE|FAT32|UDISK] - [28.8 Gb][27.9 Gb][0.1 Gb]
[COLOR=#FF0000][B]C:\ Fragmentación total 35.83% - Desfragmentar unidad [/B][/COLOR]
[COLOR=#FF0000][B]E:\ Fragmentación total 26.86% - Desfragmentar unidad [/B][/COLOR]

[B]~~~~~~~~~~~| Seguridad del SO[/B]

SafeBoot: Inicio en Modo seguro Correcto
Security Center: Correcto (Servicio Activo)
Windows Update: [COLOR=#FF0000][B]El servicio no está activo[/B][/COLOR] [LST: 2019-12-29 11:24:20][LD: 2019-12-27 16:25:30][LI: 2019-12-27 16:26:22][LRP: 2020-03-23 09:24:16]
SP: Spybot - Search and Destroy *[COLOR=#FF0000][B]Protección Residente [OFF][/B][/COLOR] / [COLOR=#FF0000][B]Actualizar[/B][/COLOR]*
SP: Windows Defender *[COLOR=#FF0000][B]Protección Residente [OFF][/B][/COLOR] / Actualizado*
FW: Windows Firewall *Habilitado*

[B]~~~~~~~~~~~|  Update Check[/B]

Internet Explorer Versión Instalada 11
Google Chrome Versión Instalada 88.0.4324.150

[B]~~~~~~~~~~~| Process List[/B] 

MBAMTray.exe (Malwarebytes Anti-Malware)
MBAMservice.exe (Malwarebytes Anti-Malware)

[B]~~~~~~~~~~~| Install Check[/B] 


CCleaner [5.64]

[B]~~~~~~~~~~~| Registry Check[/B]

HKLM\Run(x64): [AdobeGCInvoker-1.0] "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe"
HKLM\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
HKLM\Run: [Dropbox] "C:\Program Files (x86)\Dropbox\Client\Dropbox.exe" /systemstartup
HKLM\Run: [SDTray] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
HKLM\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL
HKLM\Run: [CTHelper] CTHELPER.EXE
HKLM\Run: [CTxfiHlp] CTXFIHLP.EXE
HKLM\Run: [haleng] C:\Users\MASSBA~1\AppData\Local\Temp\haleng.exe
HKLM\Run: [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
HKLM\Run: [Spybot-S&D Cleaning] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" /autoclean
HKLM\Run: [GoogleChromeAutoLaunch_DA49533490B544962D76CEA7A7F9414D] "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5
HKLM\Run: [4982061] "C:\Users\massbateria\AppData\Roaming\id2fgb1k0de\bpdi2b0oa1i.exe" /VERYSILENT
HKLM\Run: [WinterSnowflake] "C:\Windows\rss\csrss.exe"
Winlogon(x64): Shell = explorer.exe
Winlogon: Shell = explorer.exe
Userinit(x64): Userinit = userinit.exe,
Userinit: Userinit = userinit.exe,

[HKCR\.\.open\command] -> Navegador Preferido es Google Chrome

[B]~~~~~~~~~~~| PUPs Check[/B]

HKCU\Software\simplitec
HKLM\Software\simplitec
HKCU64\Software\simplitec
HKCU\Software\Tencent
HKCU64\Software\Tencent

C:\Users\massbateria\AppData\Roaming\Tencent

[B]~~~~~~~~~~~| Listado 7 Días (Predeterminado)[/B]

[10/02/2021 23:14] - C:\Windows\ntbtlog.txt
[10/02/2021 19:10] - C:\Windows\rss
[10/02/2021 22:08] - C:\Windows\setupact.log
[10/02/2021 22:08] - C:\Windows\setuperr.log
[10/02/2021 19:05] - C:\Windows\trustedlogos
[10/02/2021 19:10] - C:\Windows\windefender.exe
[04/02/2021 10:43] - C:\Windows\{00000002-00000000-00000005-00001102-00000004-40011102}.CDF
[11/02/2021 09:00] - C:\FSTool
[11/02/2021 09:00] - C:\IFS.log

[B]~~~~~~~~~~~| C:\Windows\Tasks:[/B]

[25/01/2019 10:13] - C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job
[25/01/2019 10:13] - C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job

[B]~~~~~~~~~~~| End Report[/B]
*Finalizado 09:05:05
*Se limpiaron los archivos temporales
*[1599815] C:\Users\massbateria\Downloads\IFS.exe
*Herramienta de Análisis e investigación
10 
Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted]
"C:\\Users\\massbateria\\Downloads\\KMSpico.v10.1.6.FINAl By WAYTHREES\\KMSpico Install\\KMSpico_setup.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\Lavasoft]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Lavasoft]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{4AD5BE4A-9799-4EDD-A7EC-217A3CBA40EB}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{11B76D68-FBF2-4C02-89F2-B133117D139B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{7EC26CB7-9667-4EEA-97C6-02FB96FAC483}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{274172DA-FCCD-4EDE-94C7-13031CC1512E}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{581EE4A7-88EF-4836-8DE7-2EFE15B19D18}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{A4829F39-686D-41F2-B187-20B49A5FB048}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{5291A175-71E3-422E-8AE3-D0CDD8AEC51F}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{16E7B11A-A809-4CEE-9603-C690FC07A8B0}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{101BF1A0-82D9-4BF6-8D8F-45BEB76700BD}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{4AD5BE4A-9799-4EDD-A7EC-217A3CBA40EB}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{11B76D68-FBF2-4C02-89F2-B133117D139B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{7EC26CB7-9667-4EEA-97C6-02FB96FAC483}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{274172DA-FCCD-4EDE-94C7-13031CC1512E}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{581EE4A7-88EF-4836-8DE7-2EFE15B19D18}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{A4829F39-686D-41F2-B187-20B49A5FB048}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{5291A175-71E3-422E-8AE3-D0CDD8AEC51F}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{16E7B11A-A809-4CEE-9603-C690FC07A8B0}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{101BF1A0-82D9-4BF6-8D8F-45BEB76700BD}"="v2.10|Action=Allow|Active=TRUE|Dir=In|App=C:\\Windows\\rss\\csrss.exe|Name=csrss|"
11 
# -------------------------------
# Malwarebytes AdwCleaner 8.0.9.1
# -------------------------------
# Build:    01-20-2021
# Database: 2021-01-26.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    02-11-2021
# Duration: 00:00:03
# OS:       Windows 7 Ultimate
# Cleaned:  32
# Awaiting reboot:1
# Failed:   0


***** [ Services ] *****

Deleted       TrustedLogos
Deleted       WinDefender

***** [ Folders ] *****

Deleted       C:\Program Files (x86)\Seed Trade
Deleted       C:\Users\massbateria\AppData\Roaming\Tencent
Deleted       C:\Windows\TrustedLogos
Deleted       C:\Windows\rss

***** [ Files ] *****

Deleted       C:\Windows\System32\drivers\Winmon.sys
Deleted       C:\Windows\System32\drivers\WinmonFS.sys
Deleted       C:\Windows\System32\drivers\WinmonProcessMonitor.sys
Needs Reboot  C:\Windows\windefender.exe

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\SCHEDULEDUPDATE

***** [ Registry ] *****

Deleted       HKCU\Software\GCleaner
Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet
Deleted       HKLM\SOFTWARE\MICROSOFT\Speedycar
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{98E4323A-64BE-42D9-A01A-8CDA33EC99B5}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate
Deleted       HKLM\Software\MICROSOFT\TechnologyDesktopnew
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKLM\Software\Wow6432Node\TrustedLogos
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
Deleted       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
Deleted       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com
Deleted       HKU\.DEFAULT\Software\Mozilla\NativeMessagingHosts\com.webcompanion.native
Deleted       HKU\S-1-5-18\SOFTWARE\Mozilla\NativeMessagingHosts\com.webcompanion.native
Deleted       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
Deleted       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

***** Reboot Required to Complete *****
12 
# -------------------------------
# Malwarebytes AdwCleaner 8.0.9.1
# -------------------------------
# Build:    01-20-2021
# Database: 2021-01-26.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    02-11-2021
# Duration: 00:00:57
# OS:       Windows 7 Ultimate
# Scanned:  31956
# Detected: 32


***** [ Services ] *****

PUP.Optional.Legacy             WinDefender
PUP.Optional.PrxySvrRST         TrustedLogos

***** [ Folders ] *****

Adware.TrustedLogos             C:\Windows\TrustedLogos
PUP.Optional.Dreamtrips         C:\Program Files (x86)\Seed Trade
PUP.Optional.Legacy             C:\Users\massbateria\AppData\Roaming\Tencent
Trojan.Agent                    C:\Windows\rss

***** [ Files ] *****

Trojan.Agent                    C:\Windows\System32\drivers\Winmon.sys
Trojan.Agent                    C:\Windows\System32\drivers\WinmonFS.sys
Trojan.Agent                    C:\Windows\System32\drivers\WinmonProcessMonitor.sys
Trojan.Agent                    C:\Windows\windefender.exe

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

Adware.CloudWeb                 C:\Windows\System32\Tasks\SCHEDULEDUPDATE

***** [ Registry ] *****

Adware.CloudWeb                 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{98E4323A-64BE-42D9-A01A-8CDA33EC99B5}
Adware.CloudWeb                 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate
Adware.ICLoader                 HKLM\SOFTWARE\MICROSOFT\Speedycar
Adware.ICLoader                 HKLM\Software\MICROSOFT\TechnologyDesktopnew
PUP.Optional.Epicsofts          HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet
PUP.Optional.GarbageCleaner     HKCU\Software\GCleaner
PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
PUP.Optional.Legacy             HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
PUP.Optional.Legacy             HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com
PUP.Optional.Legacy             HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
PUP.Optional.Legacy             HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com
PUP.Optional.PrxySvrRST         HKLM\Software\Wow6432Node\TrustedLogos
PUP.Optional.WebCompanion       HKCU\Software\Lavasoft\Web Companion
PUP.Optional.WebCompanion       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
PUP.Optional.WebCompanion       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion       HKU\.DEFAULT\Software\Mozilla\NativeMessagingHosts\com.webcompanion.native
PUP.Optional.WebCompanion       HKU\S-1-5-18\SOFTWARE\Mozilla\NativeMessagingHosts\com.webcompanion.native
PUP.Optional.WebCompanion       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.


AdwCleaner[S00].txt - [1253 octets] - [25/01/2019 19:47:26]
AdwCleaner[C00].txt - [1439 octets] - [25/01/2019 19:49:23]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########
13

1a
1a2048×1844 1.33 MB
2
21869×1560 1.12 MB
3
32061×1720 1.28 MB

14

Tras hacer todo lo indicado, el pc, en principio, va perfecto. Pero hay procesos qye no he podido ejecutar como: JunkwareRemoval Tool ESET online, el mismo bloqueador de malware, no me dejaba abrirlo. Muchas gracias por todo. Si he d ehacer algo más, indícamelo @Marr0n Lo que pueda hacer por vosotros, yo encantado!

15

Hola, buenas @massbateria

Menudo Zoológico tienes por allí montado. Bien vamos por partes…

Respecto a RKill >> en este caso ha detectado que respecto al archivo Hosts del sistema no se puede editar, ya que no se han podido fijar los permisos. Síntomas muy típicos de diverso tipo de malware que tienes. Tienes/tenías (ya lo iremos viendo) el archivo HOSTS bastante corrompido.

Muchas infecciones informáticas modifican el archivo HOSTs de Windows para que no puedas acceder a varios sitios o para que cuando visites un sitio legítimo seas redirigido a uno bajo el control de los desarrolladores del malware. Una vez realizados estos cambios, ciertos programas maliciosos cambiarán los permisos del archivo HOSTS para que usted no pueda eliminarlo o modificarlo. Hosts-perm.bat restablecerá estos permisos para que vuelvas a tener acceso completo a él.

Si quieres saber más información sobre el archivo HOSTS o te pica la curiosidad, te dejo un artículo que explica perfectamente su funcionalidad: The Hosts File and what it can do for you

¿Por qué en tu post número 7 pones un reporte de mb-clean:3.1.0.1035? Si yo no te lo he indicado. :thinking: :thinking: :thinking:

Respecto a IFS >> tienes dos unidades con una fragmentación que no es recomendable. Ya nos encargaremos después de eso. Tienes Spybot - Search and Destroy que ya no sirve para nada, pues está muy desactualizado hoy en día para eliminar malware, después ya nos encargaremos de este, pues deberíamos de quitarlo. En su debido momento ya estabilizaremos la máquina y la fortificaremos un poco para evitar posibles infecciones. Te ha detectado malware de tipo Adware.

¿Por qué en tu post número 10 pones un reporte de Windows Registry Editor Version 5.00? Si yo no te lo he indicado. :thinking: :thinking: :thinking:

Aparte veo en ese log, de que tu Windows no es legal o bien de que al menos lo has activado ilegalmente con el KMSpico. ¿Verdad? Pues esa mierd… de CRAK del KMSpico siempre trae malware variopinto es como jugar a la ruleta rusa y esperar no morir en algún momento dado. Y al final… RIP.

Buena parte del malware que tienes es básicamente porque has descargado KEYGENS, CRACKS y etc… Nunca descargues cosas de estas en tu máquina principal o de uso diario, ya que después te traes sorpresas y pasa lo que pasa…

Respecto al AdwCleaner >> solo era necesario el log que te pedi de: C:\AdwCleaner\Logs\AdwCleaner[C0].txt

Te ha detectado bastantes Adwares todo y que los ha eliminado todos a excepción de uno que requiere obligatoriamente que reinicies la máquina. Así que hazlo. ¿Lo hiciste?

Respecto al TDSKiller >> ha detectado un buen Zoológico de malware diverso. También ha detectado los Adwares que se enviaron a la cuarentena del AdwCleaner como malware, en ese caso serían falsos positivos, ya que al estar en la cuarentena pues ya son inofensivos. De todas formas veo que o bien has mandado todo lo detectado a la cuarentena o lo has eliminado según las indicaciones del programa :+1: :+1:

OK. Me alegro de que vaya mejor ahora. Pero de momento aún no hemos finalizado, pues estoy segurísimo de que aún queda malware en tu PC.

¿Al intentar ejecutar el JRT que es lo que te lo ha impedido o que error te ha dado?

¿Al intentar ejecutar el ESET ONLINE que es lo que te lo ha impedido o que error te ha dado?

A que te refieres con:

No te entiendo. Explícate por favor. ¿OK?

De nada. OK, pues lo dicho de todas formas te lo resumo en:

:one: EN TU PRÓXIMA RESPUESTA

  • ¿Cuando has realizado todos estas análisis has conectado todos tus dispositivos externos como USBs, discos duros externos, etc? Por lo que veo los conectaste todos. ¿Correcto?
  • Respondes a las preguntas que te haya realizado a lo largo del post.

Salu2.

16

Hola @Marr0n , intentaré responder a todas las preguntas :wink:

“¿Por qué en tu post número 7 pones un reporte de mb-clean:3.1.0.1035 ? Si yo no te lo he indicado”.

¿Por qué en tu post número 10 pones un reporte de Windows Registry Editor Version 5.00 ? Si yo no te lo he indicado. :thinking: :thinking: :thinking:

A veces, no sé exactamente lo que me pides que ten envía y por eso, para no quedarme corto, te he enviado lo que creía que me pedías.

Te ha detectado bastantes Adwares todo y que los ha eliminado todos a excepción de uno que requiere obligatoriamente que reinicies la máquina. Así que hazlo. ¿Lo hiciste?

Efectivamente, lo he hecho.

Tras hacer todo lo indicado, el pc, en principio, va perfecto. Pero hay procesos qye no he podido ejecutar como: JunkwareRemoval Tool ESET online, el mismo bloqueador de malware, no me dejaba abrirlo. Muchas gracias por todo. Si he d ehacer algo más, indícamelo @Marr0n Lo que pueda hacer por vosotros, yo encantado!

Junkware, me dice vuestra página,que ya no la usábais y el enlace no estaba. ESET, no pude entrar. Le daba al enlace y volvía a la misma página. Al bloqueador, me refiero a una página de Adblock.

Y si, conecté todos mis dispositivos.

Muchas gracias por todo. Esepro instrucciones. Por cierto, ya he desinstalado Spybot. Ahora me sale algo como, que falta insertar una unidad de disco o algo así. Priemr me salió con SDCleaner.com y después de borrar Spybot, me sale lo mismo, pero con Spotify.com o.exe, no recuerdo.

Si me vuleve a salir, te adjuntaré captura de pantalla.

17

Hola, buenas nuevamente @massbateria

Ok. Vale bueno, entiendo que mis mensajes sean largos. Pero con todas las instrucciones que te doy una vez leídas y entendidas correctamente, pues queda bien claro lo que te pido. Así que no sé de donde has sacado lo de mb-clean:3.1.0.1035 y Windows Registry Editor Version 5.00, ya que he revisado mis anteriores respuestas y yo no te lo he indicado en ningún momento. Lo digo ya que en el futuro te pediré hacer unas cosas más y sí después haces cosas que yo no te he pedido y las haces por tu cuenta, pues pueden afectar negativamente al problema complicándolo aún más. Así que por favor cíñete y haz exactamente y estrictamente lo que yo te pida. Y si tienes algún tipo de duda / confusión, pues me lo preguntas. ¿Entendido?

Ok. Perfecto.

Sí que es verdad que está desactualizado y por ello ya te he hecho utilizar otras herramientas y otras que faltan. De todas formas en tu caso concreto sí que quiero que lo utilices. El enlace sí que funciona, pues lo acabo de probar yo mismo, simplemente le tienes que dar al botón de descarga, de todas formas te pongo el enlace de descarga directo de nuestro foro del JRT_DESCARGA.

Que extraño, ami me funciona perfectamente de todas formas vete a saber si con el malware que tienes más el Adblock tienes algún conflicto. Así que descárgalo de (descarga directa del fabricante): ESET_ONLINE_SCANNER_DESCARGAR

OK.

OK. PERFECTO.

De nada. OK, seguimos.

MAL MUY MAL. Pues lee mis mensajes por favor, sí que es cierto que te dije que estaba desactualizado, pero que ya lo quitaríamos de una forma que te diría en un momento dado. NO QUE LO QUITASES TU POR TU CUENTA, YA QUE AHORA PUEDEN QUEDAR RESTOS DE ESTE Y Será MÁS DIFÍCIL QUITARLOS SI ES QUE HAY. Lo que te dije fue:

Lee con más atención por favor. Y si no, preguntas.

:one: EN TU PRÓXIMA RESPUESTA

  • Realizas JRT y traes su reporte.
  • Realizas Eset Online Scaner y traes su reporte.
  • Realizas NUEVAMENTE Kasperky Virus Removal Tool y traes su reporte.
  • Todos ellos lo haces en base a las instrucciones que te di en su momento: Modo Seguro…, conectar todos los dispositivos, etc…
  • Respondes a las preguntas que te haya realizado a lo largo del post.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

18

Hola @Marr0n buenos días. Resulta que el ordenador no me deja acceder a JRT. Clicko en el link y se cierra enseguida. Debe ser cosa del malware. Sí que me he podido descargar ESET. Díme que hago ahora. Instalo ESET o espero tus instrucciones?

19

Hola @massbateria

OK. No es lo más normal del mundo, pero podría ser.

Sí, utiliza el ESET tal y como te dije en:

Y me traes su reporte.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Descarga, instala y ejectua ZHP Cleaner siguiendo su manual, lo descargas, instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Inicia de nuevo el equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

Realizas lo siguiente:

  1. Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual.

  2. Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:one: EN TU PRÓXIMA RESPUESTA

  • Traes los reportes de ESET Online Scanner, ZHP Cleaner, Malwarebytes Anti-Rootkit y TDSKiller.
  • Comentas el estado en general del ordenador respecto al problema inicial planteado.

Salu2.

25

Hola @Marr0n Aquí te traigo los reportes. Espero haberlo hecho bien ahora.

17/02/2021 7:21:27
Archivos analizados: 323795
Archivos detectados: 18
Archivos desinfectados: 18
Tiempo total de análisis 02:39:01
Estado del análisis: Finalizado


C:\AdwCleaner\Quarantine\bbSqWy6yhK\3a7891bf03ee5a01b397b6c44a8b332f.exe	una variante de Win32/Adware.Zdengo.EW aplicación	desinfectado por eliminación
C:\AdwCleaner\Quarantine\C\Program Files\DriverToolkit\DriverToolkit.exe.vir	una variante de Win32/UwS.DriverToolkit.A aplicación	desinfectado por eliminación
C:\AdwCleaner\Quarantine\C\Program Files\GSafe\nfapi.dll.vir	una variante de Win32/NetFilter.A aplicación potencialmente no segura	desinfectado por eliminación
C:\AdwCleaner\Quarantine\C\Program Files\GSafe\ProtocolFilters.dll.vir	una variante de Win32/NetFilter.A aplicación potencialmente no segura	desinfectado por eliminación
C:\AdwCleaner\Quarantine\v1\20210211.091018\9\windefender.exe#EE41CB463B852F74	una variante de WinGo/RanumBot.J Troyano	desinfectado por eliminación
C:\Users\massbateria\AppData\Roaming\uTorrent\updates\3.5.5_45146.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
C:\Users\massbateria\AppData\Roaming\uTorrent\updates\3.5.5_45231.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
C:\Users\massbateria\AppData\Roaming\uTorrent\updates\3.5.5_45395.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
C:\Users\massbateria\AppData\Roaming\uTorrent\updates\3.5.5_45505.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
C:\Users\massbateria\AppData\Roaming\uTorrent\updates\3.5.5_45790.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
C:\Users\massbateria\AppData\Roaming\uTorrent\uTorrent.rar	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	eliminado
E:\datos borja\SONIDO\IZotope.iDrum.VSTi.RTAS.v1.6.1.Incl.Keygen-AiR.rar	una variante de Win32/Keygen.AD aplicación potencialmente no segura	eliminado
E:\datos borja\SONIDO\iZotope_Alloy_Setup_v1_00.rar	una variante de Win32/Keygen.AD aplicación potencialmente no segura	eliminado
E:\datos borja\SONIDO\Peavey_Electronics_ReValver_MK_III_APP_w_Universal_Patch_by_TheXROOster.zip	una variante de Win32/HackTool.Patcher.A aplicación potencialmente no segura	contenía archivos infectados
E:\datos borja\SONIDO\Revalver MK III win crack.zip	una variante de Win32/HackTool.Patcher.A aplicación potencialmente no segura	contenía archivos infectados
E:\Dropbox\Dropbox\Dropbox\tecnica\Finale 2011(1).rar	una variante de Win32/HackTool.Patcher.A aplicación potencialmente no segura	eliminado
E:\EZDrummer 2\R2R\Toontrack_KeyGen.exe	Win32/Keygen.ACE aplicación potencialmente no segura,Win32/Keygen.ML aplicación potencialmente no segura	desinfectado por eliminación
I:\Windows Loader.exe	Win32/HackTool.WinActivator.I aplicación potencialmente no segura	desinfectado por eliminación