Virus doble tilde. Otro con el mismo problema

Eliminar Malwares
15

Hola, buenas @1Matute he estado revisando tu caso y bueno… vayamos por partes.

:zero: PREGUNTAS

¿Tu sistema actualmente hace poco o en el pasado fue infectado por malware del tipo Ransomware?

¿Reconoces esta carpeta y fichero? >> C:\SystemID\PersonalID.txt

Abres el fichero de texto y me revelas que contenido sale en este. Pero estoy casi seguro de que es la típica nota prototipo de un RansomWare pidiendo :money_with_wings: :money_with_wings: :moneybag: :moneybag: para un rescate. Vamos o al menos tiene la pinta.

¿Te suena esta ID de extensión? >> lmjegmlicamnimmfhcmpkclmigmmcbeh

¿O te suena haber tenido o sigues teniendo esta extensión de CHROME? >> Google Drive App Launcher

Sube estos ficheros a VirusTotal para ello te recomiendo que sigas Manual VirusTotal:

C:\Users\Matías\Downloads\41a1e84c__blood-bowl-ii.zip
C:\WINDOWS\system32\uwfcfgmgmt.dll

Y me traes los correspondientes análisis. Para ello adjuntas la dirección web/URL en tu próxima respuesta. Una para cada fichero (en total 2).

:one: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas en este particular caso las casillas de Create registry backup y Activate UAC, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Task: {3935B5A6-6713-421A-B487-7DEBF56A7AED} - System32\Tasks\Microsoft\Windows\SideShow\GadgetManager => {FF87090D-4A9A-4F47-879B-29A80C355D61}
Task: {45D83144-A9FA-4395-85B7-F4361EAA0520} - System32\Tasks\Microsoft\Windows\SideShow\SessionAgent => {45F26E9E-6199-477F-85DA-AF1EDFE067B1}
Task: {D44824D0-4096-4AA5-8DA7-28B05ED7E0C8} - System32\Tasks\Microsoft\Windows\SideShow\SystemDataProviders => {7CCA6768-8373-4D28-8876-83E8B4E3A969}
Task: {9C2D5F90-0C0F-4A28-9C16-D7D3778969D6} - System32\Tasks\Microsoft\Windows\SideShow\AutoWake => {E51DFD48-AA36-4B45-BB52-E831F02E8316}
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
C:\Users\Matías\AppData\Local\625edb88-e251-496e-970d-8baa1dea4a53
C:\Users\Matías\AppData\Local\61c1b884-3182-4231-b18d-e24f9f4c087b
C:\Users\Matías\AppData\Roaming\Serian
C:\ProgramData\Windows Host
C:\Users\Matías\AppData\Local\script.ps1
Folder: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned
Folder: C:\Users\Matías\AppData\Local\ModelResult
Folder: C:\Users\Matías\AppData\Roaming\WinSupport
Folder: C:\MAPS
Folder: C:\WINDOWS\system32\FxsTmp
Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AFIP - Aplicaciones
File: C:\WINDOWS\System32\AutoWorkplace.exe
File: C:\WINDOWS\system32\DrtmAuth9.bin;C:\WINDOWS\system32\DrtmAuth8.bin;C:\WINDOWS\system32\DrtmAuth7.bin;C:\WINDOWS\system32\DrtmAuth6.bin;C:\WINDOWS\system32\DrtmAuth5.bin;C:\WINDOWS\system32\DrtmAuth4.bin;C:\WINDOWS\system32\DrtmAuth3.bin;C:\WINDOWS\system32\DrtmAuth2.bin;C:\WINDOWS\system32\DrtmAuth18.bin;C:\WINDOWS\system32\DrtmAuth17.bin;C:\WINDOWS\system32\DrtmAuth16.bin;C:\WINDOWS\system32\DrtmAuth15.bin;C:\WINDOWS\system32\DrtmAuth12.bin;C:\WINDOWS\system32\DrtmAuth11.bin;C:\WINDOWS\system32\DrtmAuth10.bin;C:\WINDOWS\system32\DrtmAuth1.bin

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

1 me gusta