Virus e instalacion en segundo plano

-Detalles del registro-
Fecha del evento de protección: 12/11/18
Hora del evento de protección: 20:28
Archivo de registro: a1be6de8-e6d2-11e8-94b5-14dae90e9119.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.7813
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 17134.345)
CPU: x64
Sistema de archivos: NTFS
Usuario: System

-Detalles del sitio web bloqueado-
Sitio web malicioso: 1
, , Bloqueado, [-1], [-1],0.0.0

-Datos de sitio web-
Categoría: Fraude
Dominio: www.removeallvirus.com
Dirección IP: 107.180.54.255
Puerto: [50165]
Tipo: Saliente
Archivo: C:\Program Files (x86)\Mozilla Firefox\firefox.exe



(end)

PD: En windows defender dice amenzas en cuarentena que quedaron desde el 11/11/2018 (son 2 con el mismo nombre) , si queres te detallo que señalo

Estos sitios webs tu los as visitados estos días? o te lo detecta navegando en cualquier web?

Si los visite el dia de ayer durante 20 segundos casi nada para ver que paso con este troyano(el original del tema). Pero ahora salto con esa alerta el mbam, por eso me parecio raro.

Es una web fraudulenta que usa la tecnica de darte un removedor de virus que es un simple troyano. Te bloqueo la descarga de este malware, por eso te salta el aviso.

Bien respondeme las siguientes preguntas:

  • Windows Defender y MBAM ya no detectan el troyano?
  • AVAST ya fue desinstalado ?

ahora detecto otro tipo de troyano.

Ya fue eliminado el Avast. incie las acciones recomendadas de windows defender que detecto esto. y tratare de borrar la carpeta download ese archivo zip que descargue

Descarga los siguientes programas y dejalos en el escritorio:

:one:

  • Ejecuta como admnistrador Rkill
  • Se abrira una consola similar a CMD
  • Deja que trabaje de 2 a 5 minutos
  • Pega el reporte que esta dentro de Rkill.txt guardado en el escritorio. :warning: No reinicies el PC al terminar, y sigue con MBAM anti-rootkit :warning:

:two:

:three:

Realiza el mismo procedimiento de Malwarebytes como lo has echo anteriormente y me pegas su reporte.

Espero sus reportes y respetivos comentarios si aun sigue detectando. Saludos.

Puse en la papelera esos zip del curso, ¿los detectara igual?

Los detectara igual, pero dejalos fuera de la papelera, en el escritorio por las dudas.

ese archivo .txt lo recuerdo del curso (creaba accesos directos de carpetas, sin eliminarlas y les ponia tambien como “nombrecarpeta+nombredearchivo” te paso el rkill que ya temrmino

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2018 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 11/13/2018 01:24:03 PM in x64 mode.
Windows Version: Windows 10 Home 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 11/13/2018 01:24:15 PM
Execution time: 0 hours(s), 0 minute(s), and 12 seconds(s)
Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2018.11.13.07
  rootkit: v2018.11.13.07

Windows 10 x64 NTFS
Internet Explorer 11.345.17134.0
Usuario :: USUARIO-PC [administrator]

13/11/2018 13:48:16
mbar-log-2018-11-13 (13-48-16).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 1274
Time elapsed: 59 second(s) [aborted]

Memory Processes Detected: 0
[/END]
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

PD: no me deja colocar el otro log del antirookit.

saludos

Realiza el paso de Malwarebytes desde Modo seguro y al terminarr me pasas su log.

Al iniciar modo seguro no me deja ejecutar ninguna aplicacion, hago doble click y nada. Se pueden explorar carpetas. (por lo menos es lo que me pasa ami)(tengo windows10)

Realiza un escaneo con ESET Online Scanner y me pegas su log. Te dejo su manual.

Saludos.

dale , lo estare subiendo mañana a primera hora

|C:\Users\Usuario\Downloads\ccsetup532.exe|Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura|desinfectado por eliminación|
|---|---|---|
|C:\Users\Usuario\Downloads\ccsetup542.exe|Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura|desinfectado por eliminación|
|C:\Users\Usuario\Downloads\ccsetup548.exe|Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura|desinfectado por eliminación|
|C:\Users\Usuario\Downloads\dfsetup221.exe|Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura|desinfectado por eliminación|
|C:\Users\Usuario\Downloads\rcsetup153.exe|Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura|desinfectado por eliminación|

Creo que es esto, pero me parece medio incompleto (el otro esta en el log.txt de la direccion usuario>Appdata>Temp, avisame si queres la otra parte del inicio de escaner y eso.

Esto me parece mas importante y lo que encontro , en el manual no figura que hacer con las dos opciones del casillero de abajo, por lo que voy a poner en terminar.

Pega el otro .txt y comentame el funcionamiento del PC.

Hola, con permiso

@Didishnr aparte de poner el reporte que te falta, realiza lo siguiente:

Descarga Farbar Recovery Scan Tool.en el escritorio, seleccionando la versión adecuada para la arquitectura(32 o 64bits) de tu equipo. :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Pon los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Un saludo

16:16:06 # product=EOS
# version=8
# flags=0
# ESETOnlineScanner_ESL.exe=2.0.22.0
# EOSSerial=
# end=init
# utc_time=2018-11-18 19:16:05
# local_time=2018-11-18 16:16:05 (-0300, Hora estándar de Argentina)
# country="Spain"
# osver=10.0.17134 NT 
16:16:19 # product=EOS
# version=8
# flags=0
# ESETOnlineScanner_ESL.exe=2.0.22.0
# EOSSerial=b02a7b94770b584c84336713226e3632
# end=init
# utc_time=2018-11-18 19:16:18
# local_time=2018-11-18 16:16:18 (-0300, Hora estándar de Argentina)
# country="Spain"
# osver=10.0.17134 NT 
16:17:40 Updating
16:17:40 Update Init
16:17:42 Update Download
16:21:04 esets_scanner_reload returned 0
16:21:04 g_uiModuleBuild: 39434
16:21:04 Update Finalize
16:21:04 Call m_esets_charon_send
16:21:04 Call m_esets_charon_destroy
16:21:04 Updated modules version: 39434
16:21:14 Call m_esets_charon_setup_create
16:21:14 Call m_esets_charon_create
16:21:14 m_esets_charon_create OK
16:21:14 Call m_esets_charon_start_send_thread
16:21:14 Call m_esets_charon_setup_set
16:21:14 m_esets_charon_setup_set OK
16:21:14 Scanner engine: 39434
22:37:13 # product=EOS
# version=8
# flags=0
# ESETOnlineScanner_ESL.exe=2.0.22.0
# EOSSerial=b02a7b94770b584c84336713226e3632
# engine=39434
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-11-19 01:37:11
# local_time=2018-11-18 22:37:11 (-0300, Hora estándar de Argentina)
# country="Spain"
# lang=13322
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 0 19015393 0 0
# scanned=850506
# found=5
# cleaned=5
# scan_time=21423
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\Usuario\Downloads\ccsetup532.exe"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\Usuario\Downloads\ccsetup542.exe"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\Usuario\Downloads\ccsetup548.exe"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\Usuario\Downloads\dfsetup221.exe"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Users\Usuario\Downloads\rcsetup153.exe"
22:37:23 Call m_esets_charon_send
22:37:23 Call m_esets_charon_destroy

Smartscreen que es de windows impide ejecutar ese .exe

@Didishnr, dile a “Smartscreen” que ACEPTAS la ejecución de la herramienta FRST. :+1:

FRST es una herramienta TOTALMENTE fiable, así como cualquier otra herramienta que algún integrante del Staff de nuestro FORO te indique o cualquier herramienta que tengamos alojada en él.

Saludos.