Ventana Regasm.exe

Miguelgrado · 13 Noviembre, 2018 10:30

Realizalo en Modo seguro con Red

rafalon · 15 Noviembre, 2018 13:53

lo he hecho con modo seguro y no sale nada, paso el Avast y me sale esto MBR:\.\PHYSICALDRIVEO MBR:Backboot-G [Rtk] dice que es un virus pero no es capaz de eliminarlo cada vez que lo paso dice lo mismo, gracias

Miguelgrado · 15 Noviembre, 2018 16:18

Pega igualmente el log de Eset y ademas:

Descarga en tú escritorio el TDSSKiller

Paso 1º Ejecute TDSSkiller.,acepte las condiciones y licencia de Kaspesrky y siga estos pasos:

(Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")

Haga clic sobre "Change parameters" y marque las opciones:

Verify Driver Digital Signature;
Detect TDLFS file system
Use KSN to scan objects

Haga clic en OK, y luego presione el botón Start Scan.
Si se detecta un archivo infectado, la acción por defecto será Cure, haga clic en Continue. ( NO seleccione en ningún caso, Delete)
Si se detecta un archivo sospechoso, la acción por defecto será Skip, haga clic en Continue.
Se le puede pedir que reinicie el equipo para completar el proceso. Hacer clic en "Reboot Computer".

Una vez completado, se generara un log en la raíz del disco duro (Por lo general es el disco C:) como:

C:\TDSSKiller.x.xx.x_xx.xx.xxxx_xx.xx.xx_log.txt donde "x.xx.x_xx.xx.xxxx_xx.xx.xx" son versión, fecha y hora.

[Muy Importante] Copie y pegue el final del reporte donde indica los archivos infectados/curados… en su siguiente respuesta en este mismo tema para continuar.

rafalon · 15 Noviembre, 2018 20:42

he encendido el PC y sale AVAST analizando el PC, creo que no ha cargado ni el windows, espero que termine y después hago lo que me dices o lo paro.

Miguelgrado · 15 Noviembre, 2018 20:53

Eso es porque se ha activado el análisis de arranque de Avast, que lo hace automáticamente para tratar de eliminar virus que no puede con el sistema cargado.

Espera que termine,y después verifica si sigue detectando esa amenaza.

Si la vuelve a detectar, haces lo que te indique y si no comentas

rafalon · 15 Noviembre, 2018 20:55

ok gracias después comento

rafalon · 16 Noviembre, 2018 21:34

buenas noches, te cuento cuando termino Avast decía que había eliminado un virus MBR:.\PHYSICALDRIVEO MBR:Backboot-G [Rtk] y algunos archivos mas de windows el Eset y TDSSkiller dicen que no hay archivos infectados estoy con un portátil y los reportes no lo tengo aquí, te cuento cuando vi que podia tener problemas pase el contenido a los disco duros externos y otro que tengo en el PC los archivos que esta en el disco duro del PC están todos con el formato PPTX o PPXT no recuerdo bien, sin embargo en el disco duro externo solo esta la mitad aproximadamente, los que no están infectado se podrán utilizar (tengo el PC parado y no lo uso solo las pruebas que estamos haciendo) mi intención es formatear todos los discos que han estado infectado y guardar los no infectado que te parece, también te digo que el disco C cuando empiezan a examinar llega hasta los 260.000 archivos y solo tiene el Windows 10, Maiwarebytes, CCleaner, Malwarebytes AdwCleaner y poco mas unos 90 Gb cuando use el PC te mando los reporter

Miguelgrado · 17 Noviembre, 2018 09:17

Lo del numero de archivos analizados, eso es normal, segun cada programa.

Lo de formatear las unidades infectadas y guardar los archivos sanos, bien.

Pega los logs y comentas

rafalon · 17 Noviembre, 2018 12:10

he encontrado en C una carpeta de TDSSKiller_Quarantine, cuatro notas, dia 15-11-18 1ª [InfectedObject] Type: MBR Name: \Device\Harddisk0\DR0 2ª InfectedFile] Type: Raw image 3ª [InfectedFile] Type: Raw BB image 4ª [InfectedFile] Type: Api image
y despues otra [InfectedObject] Verdict: Rootkit.Boot.Backboot.e

16-11-18 16:56:56.0916 0x1b30 =========================================================== 16:56:56.0916 0x1b30 Scan finished 16:56:56.0916 0x1b30 ============================================================ 16:56:56.0947 0x189c Detected object count: 0 16:56:56.0947 0x189c Actual detected object count: 0 16:57:34.0572 0x1ecc Deinitialize success

17-11-18
10:08:42.0165 0x1398 ============================================================ 10:08:42.0165 0x1398 Scan finished 10:08:42.0165 0x1398 ============================================================ 10:08:42.0197 0x0a40 Detected object count: 0 10:08:42.0197 0x0a40 Actual detected object count: 0 10:08:55.0525 0x07c4 KLMD registered as C:\WINDOWS\system32\drivers\69754725.sys 10:08:56.0306 0x07c4 Deinitialize success

Eset
16-11-18

C:\AdwCleaner\Quarantine\v1\20181111.235650\1\mipony\134.376.OCT2018\W10X64.MULTi5.OCT2018.iso#5988FBDB8716C779	una variante de Win64/CoinMiner.GA aplicación potencialmente no deseada	eliminado
C:\Users\rcgod\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC#!001\MicrosoftEdge\Cache\2BNABNIA\avastdriverupdater[1].exe	una variante de Win32/Slimware.A aplicación potencialmente no deseada	desinfectado por eliminación

 Multi-OEM/Retail Project Version : 180226-R84.0 - BaseLine  [MRP via MDL Forum ONLY] 
 
Required project files extracted successfully. 
 
OEM's folder detected, structure appears OK. 
 
No Config File Detected - Using Default Settings. 
 
MRP Logging Mode              : Standard 
Confirm File Delete           : Disabled 
W10 TitleBar Color            : Disabled 
Show 'ThisPC' On Desktop      : Disabled 
 
OS Installation Date/Time     : 11/10/2018 {UTC} -- 12:42pm 
 
[OSINF] =======================  
[OSINF] Detected OS Information  
[OSINF] =======================  
[OSINF] Version {SKU}         : Windows 10 Pro {48} 
[OSINF] Edition {Registry}    : Professional {48} 
[OSINF] Edition {CBS}         : Professional 
[OSINF] Architecture          : 64 Bits 
[OSINF] Build Information     : 17134.1.amd64fre.rs4_release.180410-1804 
[OSINF] Update Build Revision : 376 
[OSINF] Edition Language/Code : en-US / 1033 {409h} 
[OSINF] Locale                : en-US 
[OSINF] Language Name Value   : ENU 
[OSINF] =======================  
 
[MBINF] ======================= 
[MBINF] Motherboard Information 
[MBINF] ======================= 
[MBINF] #01 CS Product Name   : [Aspire M1200/3200/5200       ] 
[MBINF] #02 CS Model Name     : [Aspire M1200/3200/5200       ] 
[MBINF] #04 CS Vendor Name    : [Acer] 
[MBINF] #05 CS System Name    : [Acer] 
[MBINF] #06 Baseboard Name    : [Acer] 
[MBINF] #08 BIOS or SLIC ID   : [ACRSYS - 20080507] 
[MBINF] #09 SLIC Information  : [No SLIC Table Present] 
[MBINF] #11 MSDM Information  : [No MSDM Table Present] 
[MBINF] ======================= 
 
[CMINF] ======================= 
[CMINF] CPU/Memory  Information 
[CMINF] ======================= 
[CMINF] CPU Name/Type         : [AMD Athlon{tm} 64 X2 Dual Core Processor 5200+] 
[CMINF] CPU Description       : [AMD64 Family 15 Model 107 Stepping 2] 
[CMINF] CPU Architecture      : [32/64 Bit Instruction Set] 
[CMINF] CPU Cores/Threads     : [2] / [2] 
[CMINF] Total Physical Memory : [2815 Mb] 
[CMINF] Available Memory      : [2203 Mb] 
[CMINF] ======================= 
 
[HDTYP] Info: HDD Detected. 
 
[SATOU] List user options enabled or applied... 
[PKEIC] The PID.txt file was not detected. 
[PKEIC] The ei.cfg file was not detected. 
[CKDMI] Querying BIOS for any manufacturer brand information. 
[THMOK] Acer [#04] manufacturer detected for automated theme/branding. 
[CHKMN] Computer Model Name: 'Aspire M1200/3200/5200' has been applied. 
[USRFT] CustomTheme option was not used. 
[WPCHK] Wallpaper.jpg transferred. 
[BGDFC] Desktop backgrounds folder created. 
[BGDFC] BackgroundDefault.jpg created from Wallpaper.jpg. 
[RMXML] OOBE.xml file processed. 
[UBREP] User.bmp replaced. 
[UPREP] User.png replaced. 
[UPREP] User-40.png replaced. 
[UPREP] User-32.png replaced. 
[UPREP] User-48.png replaced. 
[UPREP] User-192.png replaced. 
[WX81S] Lock Screen {img105.jpg} replaced. Original renamed as img0105.jpg. 
[WX81S] Log-In Background {img100.jpg} replaced. Original renamed as img0100.jpg. 
[OTFTS] OEM theme folder has been created. 
[OTFTS] OEM files have been transferred. 
[ATHBA] Acer OEM theme has been applied.  
[BSHCS] Branding script has completed. 
 
[ADMAN] Add-On Manager: Started. 
[USRAC] Windows 10: Enhanced Log-On screen has been enabled. 
[USRAC] 'User Account Picture' registry entry applied. 
[USRRO] Windows 'Registered Owner' {Winver} registry entry corrected. 
[USRD0] The 'defaultuser0' account was not present. 
[AMBPS] BIOS/Boot Mode  : Legacy  
[AMBPS] Partition Type  : MBR 
[AMHDC] Controller Mode : AHCI 
[CHKLS] License Status: Notification 
[OSLRC] License Status Reason Code: 0xC004F034 
[OSLRT] License not found/invalid or could not connect to the Activation Server. 
[CHKLS] Online connection maybe required to complete activation. 
[ADMAN] Add-On Manager: Completed. 
[CLNUP] MRP Clean Up Routine Processed. 
 
========================================================================================= 
= Please Note: It is advisable to logout or reboot your computer when possible to       = 
=              allow the Windows OS installed to finalize any settings.                 = 
=                                                                                       = 
=              If you have used any tweak options within the configuration file then    = 
=              it is required to do a log out or reboot cycle to allow these options    = 
=              to take effect.                                                          = 
========================================================================================= 
 
The Multi-OEM/Retail Project has completed.

17-11-18 C:\Windows\Temp\avast_ash2\CCleaner\ccsetup549.exe Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura desinfectado por eliminación perdoname pero unas veces dice que hay y otras que no, la carpeta de TDSSKiller_Quarantine no la habia visto hasta ahora en C sale una nota de TDSSKiller y me habia confundido con ella muchas gracias por tu trabajo

Miguelgrado · 17 Noviembre, 2018 12:53

Me has puesto unos galimatias de informes…

Por favor, pega los informes enteros, tal cual se indica en mis indicaciones, tanto el de Eset, como el de Tddskiller ( este ultimo la parte que se indica)

rafalon · 17 Noviembre, 2018 15:08

ha dia de hoy reporter de TDSSKiller como tu dices solo la parte de infectados/curados

13:47:07.0994 0x0ff8 Scan finished 13:47:07.0994 0x0ff8 ============================================================ 13:47:08.0026 0x00a0 Detected object count: 0 13:47:08.0026 0x00a0 Actual detected object count: 0 13:47:30.0823 0x0ec4 Deinitialize success el resto de informacion de TDSSKiller era por si tenia la imformacion algun valor para ti en la que tiene los nombres de los archivos infectados/curados te los puse por las fechas .

En Eset hoy dia C:\Windows\Temp\avast_ash2\CCleaner\ccsetup549.exe Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura desinfectado por eliminación

igual que en TDSSKiller te puse los dias anteriores por si la informacion de los aarchivos eliminados te valian, haber si ahora me explico mejor gracias

Miguelgrado · 17 Noviembre, 2018 15:39

El de Tdskiler, si,el de Eset también lo vi, pero el de Eset hay que ponerlo entero, tal cual, pues es importante para ver si esta bien realizado etc, al igual que cualquier otro informe que se pida, salvo indicación, se deben pegar enteros.

Avast te ha vuelto a detectar algo?

rafalon · 17 Noviembre, 2018 17:37

ahora voy hacer lo del Eset y despues paso el avast y lo comento gracias

Miguelgrado · 17 Noviembre, 2018 17:42

Ok, pero bueno, sobre todo dime lo del Avast, y el log de Eset, si puedes , pegalo entero, el que tenias ( no uno nuevo)

rafalon · 17 Noviembre, 2018 22:11

El Avast no ha detectado nada nuevo, los nuevos analisis realizados dan 0 resultados de infestados,

|C:\AdwCleaner\Quarantine\v1\20181111.235650\1\mipony\134.376.OCT2018\W10X64.MULTi5.OCT2018.iso#5988FBDB8716C779|una variante de Win64/CoinMiner.GA aplicación potencialmente no deseada|eliminado|
|---|---|---|
|C:\Users\rcgod\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\2BNABNIA\avastdriverupdater[1].exe|una variante de Win32/Slimware.A aplicación potencialmente no deseada|desinfectado por eliminación|

voy ha borrar todos los resultados de los analisis por si tuviera que hacer nuevos y no liarlos.
gracias

Miguelgrado · 18 Noviembre, 2018 09:31

No hace falta, si ya no detecta nada es que esta bien.

Comenta como va todo y si alguna duda mas

rafalon · 18 Noviembre, 2018 13:14

muchas gracias Miguel ahora me pongo por la labor, puedes cerrar el tema si quieres

Miguelgrado · 18 Noviembre, 2018 16:46

Para eliminar las herramientas usadas en la desinfección, realizas:

Descargas y Ejecutas >> Delfix, en tu escritorio.
Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >>;Ejecutar como Administrador.)
Marca solamente la casilla Remove disinfection tools
Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Si queda alguna herramienta, la desinstalas desde panel de Windows y aquellas que no estén listadas, se eliminan directamente.

Me alegro de haberte podido ayudar!

TEMA SOLUCIONADO

rafalon · 19 Noviembre, 2018 11:30

Te cuento el tema que me ha pasado, ayer formato el disco D, y hago una instalación limpia de Windows 10 borrando el sistema anterior por lo menos eso me pareció, hasta aquí todo bien, bajo un par de programa WinZip myponi, me da por ver mis documentos y me encuentro con uno diez archivos que están codificado como PPTX y además algunos tienen que tener 5 años o mas y lo mas curioso es que el año pasado cambie el disco duro por avería del que tenía, viendo esto me dio por ir a propiedades del disco y me encuentro con una cuenta desconocida (S-1-15-3-4096) con permiso especiales tildao permitir apague el PC esperando que te parece

Miguelgrado · 19 Noviembre, 2018 13:58

El sistema que tenias, según veo por los informes, estaba en C y ahora lo has puesto en D??