Virus en WIN10 recien instalado

Muy bien, muchas gracias SanMar

1 me gusta

Hola @Cualquieras

Tienes síntomas extraños y una detección de Rootkit, que puede ser también un Falso Positivo, ya que tu AV no se esta llevando bien con Malwarebytes y lo bloquea.

Para comprobarlo debes realizar lo siguiente:

Paso 1: Para desinstalar correctamente Malwarebytes descarga y ejecuta Mb-clean.exe

Sigues los pasos, al finalizar reinicias el equipo. Te dejara un reporte, lo copias en tu próxima respuesta.

Paso 2: Desinstala tu antivirus Kaspersky con su herramienta especifica:

Paso 3: Luego de reiniciar realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad. (En este caso al desinstalar Kas se te activará Windows Defender >>> Lo desactivas)

2.- Descarga a tu escritorio:

Malwarebytes Anti-Rootkit

  • Lo Instalas y actualizas.
  • Realiza un Análisis Completo de acuerdo a su Manual.
  • Eliminas todo lo que detecte, luego de reiniciar nos traes su reporte.

Paso 4: Después de haber realizado todos los pasos anteriores, vuelves a ejecutar FRST como ya lo hiciste anteriormente.

Nota Importante:

  • Estarás sin antivirus, así que no descargues ni instales nada sin que te lo pida.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2.

2 Me gusta

Hola @Cualquieras

No había entendido tu mensaje, cualquier problema que tengas recuerda que debes comentarlo por aquí, si te refieres según creo a descargar Malwarebytes Anti-Rootkits debes presionar en Descargar Programa del siguiente enlace:

https://www.infospyware.com/antirootkits/mbar/

Si aun tienes problemas, comenta que error te da o mejor tomas una imagen:

Salu2

2 Me gusta

Estimada:

En este POST te dejo los informes de cada uno de los análisis.

Desintalacion de MALWAREBYTES. mb-clean-results.txt (71,0 KB)

Informes de MALWAREBYTES. system-log.txt (25,8 KB) mbar-log-2020-01-26 (13-22-09).txt (2,1 KB)

Informes de FRST. Addition.txt (17,3 KB) FRST.txt (191,6 KB)

Aguardo sus comentarios.

LA PC solamente fue reiniciada luego de desinstalar los dos antivirus. Es decir no hubo reinicio luego del antirootkit sino que el análisis de FRST fue seguido. Es necesario!?

Aguardo comentarios y nuevamente gracias por la ayuda brindada.

Puedo descargar e instalar el MalwareBytes!?

Hola @Cualquieras

Por el momento NO instales nada, mientras analizo tus reportes, a la brevedad te dejare respuesta.

Salu2

1 me gusta

Hola @Cualquieras

Paso 1: Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Kaspersky Secure Connection

Manual de Revo Uninstaller.

Paso 2: Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde C:\Users\JuamPi\Desktop\ FOROANTISPYWARE

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Paso 3: Sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
(Kaspersky Lab -> AO Kaspersky Lab) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksde.exe
(Kaspersky Lab -> AO Kaspersky Lab) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksdeui.exe
R2 KSDE4.0; C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksde.exe [619752 2019-03-21] (Kaspersky Lab -> AO Kaspersky Lab)
S3 klvssbridge64_20.0; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 20.0\x64\vssbridge64.exe" [X]
R1 klgse; C:\Windows\System32\DRIVERS\klgse.sys [516216 2019-09-17] (Kaspersky Lab -> AO Kaspersky Lab)
S0 MbamElam; C:\Windows\System32\DRIVERS\MbamElam.sys [20936 2020-01-25] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
2020-01-26 13:22 - 2020-01-26 13:22 - 000255928 _____ (Malwarebytes) C:\Windows\system32\Drivers\554616BB.sys
2020-01-26 13:22 - 2020-01-26 13:22 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-01-26 13:21 - 2020-01-26 13:29 - 000000000 ____D C:\Users\JuamPi\Desktop\mbar
2020-01-26 13:21 - 2020-01-26 13:29 - 000000000 ____D C:\ProgramData\Malwarebytes' Anti-Malware (portable)
2020-01-26 13:21 - 2020-01-26 13:21 - 000192952 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamchameleon.sys
2020-01-26 00:08 - 2020-01-26 00:17 - 000072747 _____ C:\Users\JuamPi\Desktop\mb-clean-results.txt
2020-01-26 00:05 - 2020-01-26 00:05 - 000858912 _____ (Malwarebytes) C:\Users\JuamPi\Downloads\mb-clean-3.1.0.1035.exe
2020-01-25 18:16 - 2020-01-26 00:16 - 000032768 _____ C:\Windows\SysWOW64\antimalware.unwanted_products.product_registry.kvdb-shm
2020-01-25 18:16 - 2020-01-26 00:16 - 000032768 _____ C:\Windows\SysWOW64\antimalware.unwanted_products.browser_extension_registry.kvdb-shm
2020-01-25 18:16 - 2020-01-26 00:16 - 000032768 _____ C:\Windows\SysWOW64\antimalware.patch_management.product_registry.kvdb-shm
2020-01-25 18:16 - 2020-01-25 18:16 - 000012288 _____ C:\Windows\SysWOW64\antimalware.unwanted_products.product_registry.kvdb
2020-01-25 18:16 - 2020-01-25 18:16 - 000012288 _____ C:\Windows\SysWOW64\antimalware.unwanted_products.browser_extension_registry.kvdb
2020-01-25 18:16 - 2020-01-25 18:16 - 000012288 _____ C:\Windows\SysWOW64\antimalware.patch_management.product_registry.kvdb
2020-01-25 18:16 - 2020-01-25 18:16 - 000000000 _____ C:\Windows\SysWOW64\antimalware.unwanted_products.product_registry.kvdb-wal
2020-01-25 18:16 - 2020-01-25 18:16 - 000000000 _____ C:\Windows\SysWOW64\antimalware.unwanted_products.browser_extension_registry.kvdb-wal
2020-01-25 18:16 - 2020-01-25 18:16 - 000000000 _____ C:\Windows\SysWOW64\antimalware.patch_management.product_registry.kvdb-wal
2020-01-25 17:44 - 2020-01-25 17:44 - 000020936 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamElam.sys
2020-01-25 17:44 - 2020-01-25 17:44 - 000000000 ____D C:\Users\JuamPi\AppData\Local\mbamtray
2020-01-25 17:44 - 2020-01-25 17:44 - 000000000 ____D C:\Users\JuamPi\AppData\Local\mbam
2020-01-25 17:43 - 2020-01-25 17:43 - 000000000 ____D C:\Program Files\Malwarebytes
2020-01-25 17:41 - 2020-01-25 17:41 - 001883976 _____ (Malwarebytes) C:\Users\JuamPi\Downloads\MBSetup-009996.009996-consumer.exe
2020-01-25 17:31 - 2020-01-26 13:13 - 000000000 ____D C:\ProgramData\Kaspersky Lab
2020-01-25 17:31 - 2020-01-26 00:21 - 000000000 ____D C:\Program Files (x86)\Kaspersky Lab
2020-01-25 17:31 - 2020-01-26 00:20 - 000000000 ____D C:\Program Files\Common Files\AV
2020-01-25 17:31 - 2020-01-25 17:31 - 000001263 _____ C:\Users\Public\Desktop\Kaspersky Secure Connection.lnk
2020-01-25 17:31 - 2020-01-25 17:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Secure Connection
2020-01-25 17:30 - 2019-12-12 18:54 - 000251512 _____ (AO Kaspersky Lab) C:\Windows\system32\Drivers\klflt.sys
2020-01-25 17:14 - 2020-01-25 17:15 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AV: Kaspersky Total Security (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
FW: Kaspersky Total Security (Enabled) {32888857-01C3-7AB6-E095-11CC1854D0A3}
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP20.0\Bases\klids.sys [X]
CustomCLSID: HKU\S-1-5-21-2064501242-3875724749-2148970153-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\JuamPi\AppData\Local\Microsoft\OneDrive\19.002.0107.0005\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-2064501242-3875724749-2148970153-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\JuamPi\AppData\Local\Microsoft\OneDrive\19.002.0107.0005\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-2064501242-3875724749-2148970153-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\JuamPi\AppData\Local\Microsoft\OneDrive\19.002.0107.0005\amd64\FileSyncShell64.dll => Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

REINICIA y nos traes el reporte.

Salu2.

1 me gusta

Hola SanMa, Como va!? Realice todo lo indicado, a continuación el reporte:

Fixlog.txt (19,6 KB)

Quedo a la espera de tus cometarios. Nuevamente gracias por tu ayuda!!! :slight_smile:

Hola @Cualquieras

Prueba tu equipo por 24 hs, realiza al menos tres reinicios, NO INSTALES NADA, comprueba su comportamiento y como van los consumos de recursos.

Nos comentas.

Salu2

1 me gusta

Hola SanMar, como va!? en este tiempo estuve usando la PC casi sin problema, pero en estos momentos estoy con 4 pestañas abiertas y consumiendo 69% de memoria, imagino que no es normal, o si!?Te paso la imagen del administrador de tareas.

Quedo a la espera de tus comentarios, de igual forma te re agradezo por todo lo que hiciste!!!

1 me gusta

Hola @Cualquieras

Si no me equivoco tienes solo 4 gigas de Ram, con un Windows 10 de 64 bits y 4 pestañas del navegador abiertas es normal ese consumo lamentablemente, tanto Windows 10 como los navegadores son grandes consumidores de Ram.

Decide que vas a querer utilizar para indicarte los pasos, Malwarebytes creo que tenias la versión Pro o Kaspersky, ya que el problema se debió a que están siendo incompatibles, y para que se lleven hay que colocar a ambos en las excepciones.

Yo te recomiendo solo Malwarebytes 4 (ya que actúa como un antivirus) y si aun insistes en tener otro AV, dado tu escases de recursos lo puedes utilizar con el mismísimo Windows Defender.

Enlaces de Interés.

Malwarebytes 4.0: más inteligente, más rápido y más ligero

Nos comentas que deseas hacer o que decisión tomas para indicarte los pasos correctos.

Salu2

1 me gusta

Ok SanMar, se hara como vos decis entonces. Avanzamos con el Malwarebytes, y me quedo de resguardo el win defender. Mas barato. A tus ordenes y espero tus comentarios.

Nuevamente gracias por tu ayuda.

Hola @Cualquieras

Perfecto.

Paso 1:

Instala entonces Malwarebytes 4

  • No olvides actualizarlo.
  • Lee detenidamente su Manual
  • Realiza un Análisis Personalizado marcando todas las unidades
  • Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
  • Reinicias el Sistema.
  • En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

Paso 2: Vuelve a ejecutar FRST tal como lo hiciste la primera vez y nos pegas sus reportes frescos, así controlamos que todo este en orden.

Nos comentas.

Salu2

1 me gusta

EDITANDO!!! :slight_smile: :heart:

Hola @Cualquieras

Que paso que yo ya estaba analizando los reportes…:thinking:

Salu2

Perdon San, error mio como siempre. Al analizar con el Malware no lo hice correctamente y fue uno básico por arriba, te pido mil disculpas. De igual forma no creo que detecte nada el análisis, pero se nota el error porque ya van 30 min de análisis nada detectado aun y continua. por parte del FRST no creo que cambien los análisis. El único que va a cambiar imagino es el de Malware

Hola @Cualquieras

Todo perfecto…:clap:

Para eliminar las herramientas utilizadas:

Ejecutas >> Delfix, desde tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), pegalo en tu próxima respuesta.

Ademas de comentar como sientes el equipo y si ya resueltos tus problemas podemos dar por resuelto el tema.

Salu2

1 me gusta

Muchas Gracias por la ayuda brindada SanMar. Aca te dejo lo solicitado, el informe de Delfix:

DelFix.txt (434 Bytes)

El equipo funciona muy bien por cierto.

GRACIAS TOTALES!!! :+1:

Hola @Cualquieras

Gracias a ti por confiar en Forospyware!!

Para otros problemas, ya sabes donde encontrarnos…:+1:

Tema Solucionado

Salu2