Lo guardas bajo el nombre de fixlist.txt en la misma USB donde se encuentra frst.exe o frst64.exe<<<Esto es muy importante.
2.-En el equipo infectado:
Inicia nuevamente las opciones de Recuperación del Sistema hasta seleccionar Símbolo del Sistema.
Una vez dentro de la Ventana de Comandos escribe tal cual x:frst.exe o x:frst64.exe según el caso donde x debe ser reemplazada por la letra de Su unidad Usb.
Presionas Enter.
Se abrirá la ventana del programa.
Presionas una sola vez el botón Fix y esperas a que termine.
Se guardara un reporte en su unidad Usb llamado Fixlog.txt que pegará en su próxima respuesta.
Cierre la ventana del programa si quedo abierta.
Reinicias en Modo Normal
Luego de reiniciar realiza lo siguiente:
1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.
Análisis del PC con Kasperky Virus Removal Tool:Manual de Uso
Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.
Respecto a estos 3 items, los 2 primero (sincronización.bat) es un ejecutable que reconocemos, ya que lo hicimos y lo ponemos en el arranque de algunas PC para sincronizar fecha y hora con un servidor.
El otro registro, desconozco de que es.
Respecto al análisis con el FRST, lo había interpretado mal, mala mía. Ya lo ejecuté desde el escritorio de la sesión INGENIERIA. Posterior a esto, reinicio la PC y corro combofix. Luego de unos minutos, cierra la sesión y reinicia automáticamente (no se si es parte normal del proceso de la herramienta) y luego cuando abro la sesión de INGENIERIA, empiezan a abrirse simultáneamente, múltiples ventanas (CMD) con el título ComboFix limitándome mucho en las acciones a tomar, lo dejé un rato largo para ver si terminaba pero nada.
Forcé reinicio PC (Reset) y luego entré como administrador, ahí me abrió una ventana (CMD) de combofix indicándome que espere para generar el log. Luego de eso continuó todo normalmente. Subo los log y aguardo instrucciones. Sigo a disposición como siempre.
Buen día. El archivo no está. Ya lo busqué en otros equipos también cuando lo detectaba el antivirus y tampoco estaba. Esta PC con la que estamos realizando todas estas pruebas no se reinició más. Sale un cartel de un problema de windows. Subo captura de pantalla y detalle de error por si aporta algo. Consulto, ya detectaste bien el malware? hay alguna manera manera de frenar su propagación y de desinfectarlo masivamente?. gracias y saludos. error windows.txt (810 Bytes)
Perfecto, el reinicio lo provocaba el Rootkit que da la falla con el antivirus.
Ya lo veremos al final si aun continua.
Si esta detectado, el problema es que las herramientas de eliminación automática no lo detectan/eliminan, ademas el mayor de los problemas que tenemos es que realizas los pasos a remoto para poder eliminar este tipo de malwares seria muy importante que pudieras hacer los pasos en modo “presencial”y desconectando el equipo de Internet y de la RED. Y no volver a conectarlos entre si o a la red hasta que no estén limpios
Y ejecutando en Modo Seguro por ejemplo.
En el ultimo script se me escapo una linea, mil disculpas por ello vamos nuevamente con:
Combofix:
Con mucha atención realizas lo siguiente:
1.-Abrir el Notepad (Bloc de Notas)
Ir a INICIO >>> EJECUTAR >>>Escribir notepad.exe presionas ACEPTAR
2.-Ahora copia y pega estos archivos dentro del Notepad:
Buen día.Subo el log solicitado. Te comento que todos los análisis los hice presencialmente. No sabía que tenía que hacerlos desconectado de la red e internet. Si es necesario, los vuelvo a realizar. A disposición y gracias por las respuestas y seguimiento del caso. Algo que me olvidaba de comentar, me resultaría muy dificil dejar fuera de la red los equipos que vaya analizando y limpiando. Por eso consulto, desde la ignorancia, si a medida que limpie equipos se puede asegurar que los mismos no vuelvan a infectarse así voy evitando la propagación y si hay alguna herramienta para utilizar a través de la red.Combofix.txt (10,3 KB) Saludos.
Es que tu me escribiste por allí que lo hacías a remoto por ello no te indique los pasos completos.
En este tipo de casos suele ser el ideal.
Lo imagino pero el problema es que como has visto es bastante complicado limpiar uno, y en cuanto lo conectes a los otros (red) si no están limpios lo re infectaras.
Prueba lo siguiente para ver si el equipo quedo 100 x 100 limpio:
1.- Desinstala con su Herramienta especifica la versión 3.xxx de Malwarebytes que tienes instalada en ese equipo.
2.- Reinicias e Instalas su versión 4, te aseguras que actualice.
Desconecta el PC de Internet incluso desconecta el cable, apaga el Router .
3.- Reinicia el equipo en Modo Seguro (Sin Red)
Te dejo su Manual para que sepas ejecutarlo marca todas sus casillas especialmente el análisis de Rootkits.
4.- Reinicias el equipo, lo conectas a la red y ejecutas esta vez la Herramienta Malwarebytes Antirootkits . Esta fue la única herramienta que lo detecto (fuera de FRST y Combofix), pero no pudo cargárselo por completo.
SearchReg.txt (799 Bytes) Análisis completo MB.txt (1,9 KB)
Buen día.
De las tareas listadas, la única que no pude realizar es el 2do análisis completo con MalwareBytes ingresando a Windows de manera normal. Mejor dicho, iniciaba el análisis y luego de unos minutos, pantalla azul, error de volcado de memoria y se reiniciaba. Esto me sucedión en 3 oportunidades y al estar haciendo otras cosas no hice tiempo a sacarle una foto.
Disculpa la demora, estuvimos investigando tu entrada.
Intenta lo siguiente, si tienes algún error con la ejecución del programa no insistas, solo vienes y lo comentas.
Realiza los siguientes pasos, con esta herramienta N-Repair.exe | @Infospyware, que debes descargar en tu escritorio.
Cerrar todos los programas que puedas tener abiertos.
Después debes ejecutarla haciendo doble click.(Si usas Windows Vista o 7, presiona clic derecho y seleccionasEjecutar como Administrador).
En la ventana que te saldrá pulsar sobre el botón Reparar Netsvcs y responder la pregunta, con Si en caso de ser correcto el sistema operativo detectado.
Cuando termine el proceso saldrá una ventana de aviso indicando que el sistema se va a Reiniciar, debemos pulsar en Aceptar.
Al Reiniciar debería aparecer un informe, que nos debes copiar y pegar entero en tu próxima respuesta, este informe lo puedes también encontrar en C:\N-Repair.txt
Una vez Reiniciado el equipo comprobar si hay algún cambio y comentarlo.
Buen día SanMar. Disculpá que no te contesté más. Estuve muy complicado, cada vez más problemas en la red me está generando esto. Pierdo comunicación en red entre diversos equipos cuando me responde el ping, etc. Estuve re instalando varios equipos. Es más, esta PC donde estábamos trabajando, programé para re instalarla el miércoles ya que comenzó nuevamente con los reinicios y pantallazos azules.
Quedo a disposición si quieren hacer alguna evaluación y se agradecen sugerencias para avanzar con el tema.
Dado el tiempo transcurrido y si ya formateaste el equipo, comentarlo y volvemos a investigarlo recién instalado y antes que lo conectes a tu red de equipos.