Virus minería

Eliminar Malwares
#13

Por suerte con la acción uno bastó. El análisis se pudo terminar por completo y persisten las 2 detecciones nombradas previamente. Adjunto el respectivo Log de Malwarebytes hecho en modo seguro.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 30/11/21
Hora del análisis: 13:40
Archivo de registro: 2ab006c5-51fc-11ec-b7b2-000000000000.json

-Información del software-
Versión: 4.4.11.149
Versión de los componentes: 1.0.1513
Versión del paquete de actualización: 1.0.47872
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19044.1387)
CPU: x64
Sistema de archivos: NTFS
Usuario: OliverZTB\OliverZTB

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 837198
Amenazas detectadas: 2
Amenazas en cuarentena: 2
Tiempo transcurrido: 2 hr, 21 min, 53 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 2
RiskWare.ShortcutHijack, C:\FRST\QUARANTINE\C\USERS\OLIVERZTB\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\BRAVE.LNK.XBAD, En cuarentena, 14824, 940778, 1.0.47872, , ame, , C4893266BC86ECBD0BA886DD0B7CEBA0, AF8ED4D387D28E3B90EF2ECAF3B0E83B5353894ED9D13399305D0FBECC3A0E1B
RiskWare.ShortcutHijack, C:\FRST\QUARANTINE\C\USERS\OLIVERZTB\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\BRAVE.LNK.XBAD, En cuarentena, 14824, 940778, 1.0.47872, , ame, , 6A7968D953320BC053CF4687B719707B, FDBDADB8833B0959B81F08751F544CE566B282854C3C67D9849FF3F0148FDF5D

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
#14

Te ha detectado un malware dentro de la cuarentena del FRST. ¿Ha mejorado el estado de tu ordenador?

#16

Hasta cierto punto, por ejemplo ahora solo tengo abierto el navegador con videos de youtube en 144p y discord y está al 100% también, pero aveces baja, la verdad no sabría decirte.

#17

Si usas Google Chrome, ésa puede ser la causa. Intenta hacer lo mismo con cualquier otro navegador web y comenta los resultados aquí.

#18

Nope, siempre usé Opera GX.

#19

Hola buenas con permiso de @oliverztb y de @Gwain40.

Disculpas mi breve intromisión.

Doy unas breves indicaciones y sigues con el compañero @Gwain40.

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

  1. Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual (Actualizando la Database).

  2. Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

EN TU PRÓXIMA RESPUESTA

  • Respondes a las preguntas que te haya realizado.
  • Traes los reportes de Malwarebytes Anti-Rootkit y TDSKiller.
  • Comentas el estado en general del ordenador respecto al problema inicial planteado.

Salu2 a ambos.

#20

Entiendo las instrucciones de no reiniciar a no ser que los programas en cuestión o alguien del foro me lo indique, pero no entiendo que quiere decir descargar RKill bajo el nombre de iExplorer.exe, lo descargué de la página del foro y se descarga un .exe llamado RKill nada mas. Por cierto, los links de descarga de MMARB y el TDSKiller no me funcionan. Me refiero a estas entradas del foro. No puedo descargarlos desde ahí.

#21

Hola buenas @oliverztb

OK, perfecto, así es.

Ok, pues cuando le das a descargar, le cambias el nombre de RKill por el de iExplorer y ya esta. Simplemente, es renombrar el fichero, ya que hay cierto tipo de malwares que si no lo pueden bloquear y no dejar que se ejecute.

Los acabo de probar ahora mismo y si que me funcionan. Prueba con estos enlaces de descarga directos que te pongo:

(MBAR) >> https://www.infospyware.com/Software/click.php?id=19

(TDSKiller) >> https://www.infospyware.com/Software/click.php?id=22

Salu2.

#22

Ahora si funcionó pero tuve que descargarlo desde una ventana de incógnito ya que el navegador default no procedía con la descarga, desconozco el motivo pero lo importante es que ya lo tengo, en un rato vuelvo con los resultados y los logs correspondientes.

1 me gusta
#23

Ok, perfecto @oliverztb

Por aquí te esperamos.

Salu2.

#25

Ok, ya realicé todo pero tengo un pequeño problema. El reporte de TDSKiller es muy largo y supera por mucho el límite de carácteres del foro. ¿Como podría facilitarte el fichero para que sea leído correctamente?

#26

Adjúntalo directamente como fichero de texto y ya esta.

Para ello simplemente arrastras el fichero de texto en tu mensaje y ya esta.

Salu2.

#27

Realizado todo lo solicitado, traigo los logs correspondientes.

Rkill.Exe/iExplorer.exe

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2021 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 12/04/2021 05:22:55 PM in x64 mode.
Windows Version: Windows 10 Pro 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * HOSTS file entries found: 

  127.0.0.1       localhost

Program finished at: 12/04/2021 05:43:46 PM
Execution time: 0 hours(s), 20 minute(s), and 50 seconds(s)

MBAR No encontró ningún tipo de malware.

Adjunto el mbar-log.txt

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2021.12.04.03
  rootkit: v2021.12.04.03

Windows 10 x64 NTFS
Internet Explorer 11.789.19041.0
OliverZTB :: OLIVERZTB [administrator]

4/12/2021 17:26:18
mbar-log-2021-12-04 (17-26-18).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 213316
Time elapsed: 1 hour(s), 9 minute(s), 59 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Adjunto system-log.txt

---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.10.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 10.0.9200 Windows 10 x64

Account is Administrative

Internet Explorer version: 11.789.19041.0

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.394000 GHz
Memory total: 17125937152, free: 11640221696

=======================================


---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.10.3.1001

(c) Malwarebytes Corporation 2011-2012

OS version: 10.0.9200 Windows 10 x64

Account is Administrative

Internet Explorer version: 11.789.19041.0

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED
CPU speed: 3.394000 GHz
Memory total: 17125937152, free: 11536502784

Downloaded database version: v2021.12.04.03
Downloaded database version: v2021.12.04.03
Downloaded database version: v2018.01.20.01
=======================================
Initializing...
Driver version: 4.3.0.15
------------ Kernel report ------------
     12/04/2021 17:25:56
------------ Loaded modules -----------
\SystemRoot\system32\ntoskrnl.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kd.dll
\SystemRoot\system32\mcupdate_AuthenticAMD.dll
\SystemRoot\System32\drivers\CLFS.SYS
\SystemRoot\System32\drivers\tm.sys
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\BOOTVID.dll
\SystemRoot\System32\drivers\FLTMGR.SYS
\SystemRoot\System32\drivers\msrpc.sys
\SystemRoot\System32\drivers\ksecdd.sys
\SystemRoot\System32\drivers\clipsp.sys
\SystemRoot\System32\drivers\cmimcext.sys
\SystemRoot\System32\drivers\werkernel.sys
\SystemRoot\System32\drivers\ntosext.sys
\SystemRoot\system32\CI.dll
\SystemRoot\System32\drivers\cng.sys
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\WppRecorder.sys
\SystemRoot\system32\drivers\SleepStudyHelper.sys
\SystemRoot\System32\Drivers\acpiex.sys
\SystemRoot\system32\drivers\mssecflt.sys
\SystemRoot\system32\drivers\SgrmAgent.sys
\SystemRoot\System32\drivers\ACPI.sys
\SystemRoot\System32\drivers\WMILIB.SYS
\SystemRoot\System32\drivers\intelpep.sys
\SystemRoot\system32\drivers\WindowsTrustedRT.sys
\SystemRoot\System32\drivers\IntelTA.sys
\SystemRoot\System32\drivers\WindowsTrustedRTProxy.sys
\SystemRoot\System32\drivers\pcw.sys
\SystemRoot\System32\Drivers\klupd_klif_arkmon.sys
\SystemRoot\System32\drivers\msisadrv.sys
\SystemRoot\System32\drivers\pci.sys
\SystemRoot\System32\drivers\vdrvroot.sys
\SystemRoot\system32\DRIVERS\cm_km.sys
\SystemRoot\System32\drivers\amdkmpfd.sys
\SystemRoot\system32\drivers\pdc.sys
\SystemRoot\system32\drivers\CEA.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\System32\drivers\spaceport.sys
\SystemRoot\System32\drivers\volmgr.sys
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\System32\drivers\storahci.sys
\SystemRoot\System32\drivers\storport.sys
\SystemRoot\System32\drivers\amd_sata.sys
\SystemRoot\System32\drivers\amd_xata.sys
\SystemRoot\System32\drivers\EhStorClass.sys
\SystemRoot\System32\drivers\fileinfo.sys
\SystemRoot\System32\Drivers\Wof.sys
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\Fs_Rec.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\ksecpkg.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\System32\drivers\wfplwfs.sys
\SystemRoot\System32\DRIVERS\fvevol.sys
\SystemRoot\System32\drivers\volume.sys
\SystemRoot\System32\drivers\volsnap.sys
\SystemRoot\System32\drivers\rdyboost.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\Drivers\klupd_klif_klbg.sys
\SystemRoot\system32\drivers\iorate.sys
\SystemRoot\System32\drivers\disk.sys
\SystemRoot\System32\drivers\CLASSPNP.SYS
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\system32\DRIVERS\klbackupdisk.sys
\SystemRoot\System32\drivers\cdrom.sys
\SystemRoot\system32\DRIVERS\klflt.sys
\SystemRoot\system32\DRIVERS\klbackupflt.sys
\SystemRoot\system32\drivers\filecrypt.sys
\SystemRoot\system32\drivers\tbs.sys
\SystemRoot\system32\DRIVERS\klif.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\klhk.sys
\SystemRoot\system32\DRIVERS\klgse.sys
\SystemRoot\system32\DRIVERS\klpd.sys
\SystemRoot\system32\DRIVERS\kldisk.sys
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\System32\DriverStore\FileRepository\basicdisplay.inf_amd64_65ab9a260dbf7467\BasicDisplay.sys
\SystemRoot\System32\DriverStore\FileRepository\basicrender.inf_amd64_df49c4daa6251397\BasicRender.sys
\SystemRoot\system32\DRIVERS\googledrivefs3525.sys
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\CimFS.SYS
\SystemRoot\system32\DRIVERS\klwfp.sys
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\afunix.sys
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\system32\DRIVERS\klwtp.sys
\SystemRoot\system32\DRIVERS\klim6.sys
\SystemRoot\System32\drivers\vwififlt.sys
\SystemRoot\System32\drivers\pacer.sys
\SystemRoot\System32\drivers\ndiscap.sys
\SystemRoot\system32\drivers\netbios.sys
\SystemRoot\System32\drivers\Vid.sys
\SystemRoot\System32\drivers\winhvr.sys
\SystemRoot\system32\DRIVERS\klpnpflt.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\csc.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\System32\drivers\npsvctrig.sys
\SystemRoot\System32\drivers\mssmbios.sys
\??\C:\Windows\system32\drivers\MsIo64.sys
\SystemRoot\system32\DRIVERS\kneps.sys
\SystemRoot\System32\drivers\gpuenergydrv.sys
\??\C:\Windows\system32\drivers\ene.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\drivers\bam.sys
\SystemRoot\system32\DRIVERS\ahcache.sys
\SystemRoot\System32\drivers\amdxe.sys
\SystemRoot\system32\DRIVERS\amdfendr.sys
\SystemRoot\System32\drivers\tap0901.sys
\SystemRoot\System32\drivers\kltap.sys
\SystemRoot\System32\DriverStore\FileRepository\compositebus.inf_amd64_7500cffa210c6946\CompositeBus.sys
\SystemRoot\System32\drivers\kdnic.sys
\SystemRoot\System32\DriverStore\FileRepository\amdsafd.inf_amd64_50fee1227e96ec14\amdsafd.sys
\SystemRoot\System32\drivers\portcls.sys
\SystemRoot\System32\drivers\drmk.sys
\SystemRoot\system32\drivers\ksthunk.sys
\SystemRoot\System32\DriverStore\FileRepository\umbus.inf_amd64_b78a9c5b6fd62c27\umbus.sys
\SystemRoot\System32\drivers\USBXHCI.SYS
\SystemRoot\system32\drivers\ucx01000.sys
\SystemRoot\System32\drivers\rt640x64.sys
\SystemRoot\System32\DriverStore\FileRepository\u0373547.inf_amd64_5f3ab38efc92cf9f\B373550\amdkmdag.sys
\SystemRoot\System32\drivers\HDAudBus.sys
\SystemRoot\System32\drivers\serial.sys
\SystemRoot\System32\drivers\serenum.sys
\SystemRoot\System32\drivers\amdgpio2.sys
\SystemRoot\System32\Drivers\msgpioclx.sys
\SystemRoot\System32\drivers\amdppm.sys
\SystemRoot\System32\drivers\wmiacpi.sys
\SystemRoot\System32\drivers\amdgpio3.sys
\SystemRoot\System32\drivers\amdfendrmgr.sys
\SystemRoot\System32\drivers\dtliteusbbus.sys
\SystemRoot\System32\drivers\NdisVirtualBus.sys
\SystemRoot\System32\DriverStore\FileRepository\swenum.inf_amd64_16a14542b63c02af\swenum.sys
\SystemRoot\system32\drivers\logi_joy_bus_enum.sys
\SystemRoot\system32\drivers\logi_joy_xlcore.sys
\SystemRoot\System32\drivers\AmdTools64.sys
\SystemRoot\System32\drivers\dtlitescsibus.sys
\SystemRoot\System32\drivers\rdpbus.sys
\SystemRoot\System32\drivers\UsbHub3.sys
\SystemRoot\System32\drivers\USBD.SYS
\SystemRoot\system32\drivers\RTKVHD64.sys
\SystemRoot\System32\drivers\xusb22.sys
\SystemRoot\System32\drivers\hidusb.sys
\SystemRoot\System32\drivers\HIDCLASS.SYS
\SystemRoot\System32\drivers\HIDPARSE.SYS
\SystemRoot\System32\drivers\usbccgp.sys
\SystemRoot\system32\drivers\usbaudio.sys
\SystemRoot\System32\drivers\kbdhid.sys
\SystemRoot\system32\DRIVERS\klkbdflt.sys
\SystemRoot\System32\drivers\kbdclass.sys
\SystemRoot\System32\drivers\mouhid.sys
\SystemRoot\system32\DRIVERS\klmouflt.sys
\SystemRoot\System32\drivers\mouclass.sys
\SystemRoot\System32\Drivers\dump_diskdump.sys
\SystemRoot\System32\drivers\dump_storahci.sys
\SystemRoot\System32\Drivers\dump_dumpfve.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\win32kbase.sys
\SystemRoot\System32\win32kfull.sys
\SystemRoot\System32\drivers\dxgmms2.sys
\SystemRoot\System32\drivers\monitor.sys
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\drivers\wcifs.sys
\SystemRoot\system32\drivers\cldflt.sys
\SystemRoot\system32\drivers\storqosflt.sys
\SystemRoot\System32\Drivers\MbamChameleon.sys
\SystemRoot\system32\drivers\bindflt.sys
\SystemRoot\system32\drivers\mslldp.sys
\SystemRoot\system32\drivers\msquic.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\System32\DRIVERS\wanarp.sys
\SystemRoot\system32\drivers\lltdio.sys
\SystemRoot\system32\drivers\rspndr.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\??\C:\Windows\system32\AMDRyzenMasterDriver.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\system32\drivers\Ndu.sys
\SystemRoot\system32\drivers\mmcss.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\drivers\tcpipreg.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\drivers\rassstp.sys
\SystemRoot\System32\DRIVERS\NDProxy.sys
\SystemRoot\System32\drivers\AgileVpn.sys
\SystemRoot\System32\drivers\rasl2tp.sys
\SystemRoot\System32\drivers\raspptp.sys
\SystemRoot\System32\drivers\raspppoe.sys
\SystemRoot\System32\DRIVERS\ndistapi.sys
\SystemRoot\System32\drivers\ndiswan.sys
\SystemRoot\system32\drivers\AtihdWT6.sys
\SystemRoot\System32\drivers\condrv.sys
\SystemRoot\system32\drivers\logi_joy_vir_hid.sys
\SystemRoot\System32\Drivers\klupd_klif_mark.sys
\SystemRoot\System32\Drivers\klupd_klif_klark.sys
\??\C:\ProgramData\Kaspersky Lab\AVP21.3\Bases\klids.sys
\SystemRoot\system32\drivers\qwavedrv.sys
\??\C:\Windows\system32\drivers\746287FE.sys
----------- End -----------
Done!

Scan started
Database versions:
  main:    v2021.12.04.03
  rootkit: v2021.12.04.03

<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffcc89426a7080, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
--------- Disk Stack ------
DevicePointer: 0xffffcc8942ac3040, DeviceName: Unknown, DriverName: \Driver\klpnpflt\
DevicePointer: 0xffffcc894258d8d0, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffffcc89426a7080, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
DevicePointer: 0xffffcc8942415050, DeviceName: \Device\0000003b\, DriverName: \Driver\storahci\
------------ End ----------
Alternate DeviceName: Unknown, DriverName: \Driver\partmgr\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
Done!
Drive 0
This is a System drive
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: 66AD832C

Partition information:

    Partition 0 type is Primary (0x7)
    Partition is ACTIVE.
    Partition starts at LBA: 2048  Numsec = 102400
    Partition is bootable
    Partition file system is NTFS

    Partition 1 type is Primary (0x7)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 104448  Numsec = 3905871341
    Partition is not bootable
    Partition file system is NTFS

    Partition 2 type is Other (0x27)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 3905976320  Numsec = 1048576
    Partition is not bootable
    Partition file system is NTFS

    Partition 3 type is Empty (0x0)
    Partition is NOT ACTIVE.
    Partition starts at LBA: 0  Numsec = 0
    Partition is not bootable

Disk Size: 2000398934016 bytes
Sector size: 512 bytes

Done!
File "C:\Users\OliverZTB\AppData\Local\Comms\UnistoreDB\store.vol" is sparse (flags = 32768)
File "C:\Program Files (x86)\Windows Defender\en-US\EppManifest.dll.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Media Player\en-US\mpvis.dll.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Media Player\en-US\setup_wm.exe.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Media Player\en-US\wmlaunch.exe.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Media Player\en-US\wmplayer.exe.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Media Player\en-US\WMPMediaSharing.dll.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Media Player\en-US\wmpnssci.dll.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Media Player\en-US\wmpnssui.dll.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Photo Viewer\en-US\ImagingDevices.exe.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Photo Viewer\en-US\PhotoAcq.dll.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Windows Photo Viewer\en-US\PhotoViewer.dll.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Internet Explorer\en-US\ieinstal.exe.mui" is compressed (flags = 1)
File "C:\Program Files (x86)\Internet Explorer\en-US\iexplore.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Internet Explorer\en-US\ieinstal.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Internet Explorer\en-US\iexplore.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\EppManifest.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\MpEvMsg.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\MsMpRes.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\OfflineScannerShell.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\ProtectionManagement.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\ProtectionManagement.mfl" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\ProtectionManagement_Uninstall.mfl" is compressed (flags = 1)
File "C:\Program Files\Windows Defender\en-US\shellext.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\mpvis.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\setup_wm.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\wmlaunch.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\wmplayer.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\WMPMediaSharing.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\wmpnetwk.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\wmpnscfg.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\wmpnssci.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Media Player\en-US\wmpnssui.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Photo Viewer\en-US\ImagingDevices.exe.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Photo Viewer\en-US\PhotoAcq.dll.mui" is compressed (flags = 1)
File "C:\Program Files\Windows Photo Viewer\en-US\PhotoViewer.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\audit.exe.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\msoobedui.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\msoobeFirstLogonAnim.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\msoobeplugins.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\oobeldr.exe.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\OOBE_HELP_Cortana_Learn_More.rtf" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\oobe_learn_more_activity_history.htm" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\pnpibs.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\privacy.rtf" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\setup.exe.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\SetupCleanupTask.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\UserOOBE.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\vofflps.rtf" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\W32UIRes.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\windeploy.exe.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\WinLGDep.dll.mui" is compressed (flags = 1)
File "C:\Windows\System32\oobe\en-US\winsetup.dll.mui" is compressed (flags = 1)
File "C:\Windows\SysWOW64\oobe\en-US\SetupCleanupTask.dll.mui" is compressed (flags = 1)
File "C:\Windows\Microsoft.NET\Framework\v4.0.30319\1033\Microsoft.VisualBasic.Activities.CompilerUI.dll" is compressed (flags = 1)
File "C:\Windows\Microsoft.NET\Framework\v4.0.30319\en-US\Microsoft.Windows.ApplicationServer.Applications.dll.mui" is compressed (flags = 1)
File "C:\Windows\Microsoft.NET\Framework\v4.0.30319\en-US\ServiceModelEvents.dll.mui" is compressed (flags = 1)
File "C:\Windows\Microsoft.NET\Framework\v4.0.30319\en-US\ServiceModelInstallRC.dll.mui" is compressed (flags = 1)
File "C:\Windows\Microsoft.NET\Framework\v4.0.30319\en-US\ServiceModelPerformanceCounters.dll.mui" is compressed (flags = 1)
File "C:\Windows\Microsoft.NET\Framework\v4.0.30319\en-US\ServiceModelRegUI.dll.mui" is compressed (flags = 1)
File "C:\Windows\Microsoft.NET\Framework\v4.0.30319\en-US\WorkflowServiceHostPerformanceCounters.dll.mui" is compressed (flags = 1)
Scan finished
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-0-2048-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-1-104448-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\VBR-0-2-3905976320-i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-r.mbam...
Removal finished

TDSKiller.exe

Fue solicitado un restart del sistema al marcar las opciones solicitadas previamente, se volvió a ejecutar iExplorer.exe al restart como fue indicado. (Adjunto log.txt)

Posterior a eso se realizó el analisis de TDSKiller.exe correspondiente.

(Comentario adicional, al realizarse dicho reinicio del sistema, noté que se creó un fichero titulado iExplorer64.exe en el escritorio el cual no fue modificado por mí, ejecuté el RKill descargado originalmente al cual fue renombrado previamente)

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2021 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 12/04/2021 06:45:06 PM in x64 mode.
Windows Version: Windows 10 Pro 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * HOSTS file entries found: 

  127.0.0.1       localhost

Program finished at: 12/04/2021 07:02:26 PM
Execution time: 0 hours(s), 17 minute(s), and 20 seconds(s)

Procedo con el Report de TDSKiller.exe

Report TDSKiller.txt (156,2 KB)

Funcionamiento del PC en normas generales: En modo de reposo (sin carga gráfica) lo noto con un rendimiento normal, como debería ser desde un principio. Todavía no fue probado bajo estrés pero por una regla de tres voy a suponer que debería ser igual. Adjunto imagen mostrando los valores mostrados actualmente. (La velocidad de reloj estaba permanentemente en 1545MHz y a 65° mínimo antes de realizar todo lo solicitado, por lo cual se ve una gran mejoría.)

Rendimiento GPU
Rendimiento GPU1920×1080 221 KB

Eso sería todo por el momento, aguardo respuesta.

#28

Ok Bien. No tiene la pinta de que tengas malware alguno en tu máquina.

De todas formas sigamos buscando un poco más:

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Realizas un análisis con Dr Web CureIt siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It de: Dr.Web - biblioteca de utilidades gratuitas

:two: PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Dr Web CureIt y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

#29

Reporte de ESET (detectó 4 cracks de juegos piratas que están hace tiempo por lo cuál dudo que sean la causante del problema, fueron ejecutados hace mucho tiempo y nunca me produjo problema alguno)

5/12/2021 04:58:57
Archivos explorados: 718123
Archivos detectados: 4
Archivos desinfectados: 4
Tiempo total de exploración 08:50:14
Estado de la exploración: Finalizado
C:\Games\Resident Evil Village\_Cracks\1st crack\EMP.dll	una variante de Win64/HackTool.Crack.Q aplicación potencialmente no segura	desinfectado por eliminación

C:\Games\Resident Evil Village\_Cracks\2nd crack - animation fix\EMP.dll	una variante de Win64/HackTool.Crack.Q aplicación potencialmente no segura	desinfectado por eliminación

C:\Games\Resident Evil Village\EMP.dll	una variante de Win64/HackTool.Crack.Q aplicación potencialmente no segura	desinfectado por eliminación

C:\Program Files (x86)\Rockstar Games\L.A. Noire - Complete Edition\steam_api.dll	una variante de Win32/HackTool.Crack.EN aplicación potencialmente no segura	desinfectado por eliminación

Reporte de Dr Web Curelt

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\program files (x86)\iobit\driver booster\9.0.1\scheduler.exe - quarantined
C:\program files (x86)\iobit\driver booster\9.0.1\autoupdate.exe - quarantined
C:\program files (x86)\iobit\driver booster\9.0.1\driverbooster.exe - quarantined
C:\program files (x86)\iobit\driver booster\9.0.1\pub\mfap.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\AUpdate.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Focus.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DetectWave.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DataState.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DBDownloader.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\AutoNts.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\IsuScan.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\7z.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Backup.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\InstStat.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\ChangeIcon.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\IObitDownloader.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\libcrypto-1_1.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\isrupdater2.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DriverUpdate.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\dbtips.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Cmpnt.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\FaultFixes.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\NoteIcon.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Bugreport.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\ScanWinUpd.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\RttHlp.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\PowerMgr.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\SysRest.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\ScanDisp.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\libssl-1_1.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\SetupHlp.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Scanner.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\madExcept_.bpl - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\rma.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\madBasic_.bpl - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\madDisAsm_.bpl - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Zip.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\sqlite3.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DrvInstall\DbzInst.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DpInst\x64\dbinst.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\rtl120.bpl - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Manta.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\vclx120.bpl - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\WebRes.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DrvInstall\DIFxAPI32.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DrvInstall\SetVolume64.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DrvInstall\DIFxAPI64.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DrvInstall\SetVolume32.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DpInst\x86\dpinst.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\HWiNFO\HWiNFO.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\vcl120.bpl - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Register.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\SafeTips.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DpInst\x64\dpinst.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\cbtntips.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\ProductNews2.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DrvInstall\DpInstX64.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\CareScan.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\OfflineUpdater.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DrvInstall\DpInstX32.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Boost.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\unins000.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\TrialPromote.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\cbutton.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\TaskbarPin\ICONPIN32.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\MsgBoxEx.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Pub\library_72.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\TaskbarPin\ICONPIN64.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Pub\sqlite3.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Pub\SqlDll\sqlite3.dll - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\DpInst\x86\dbinst.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\TaskbarPin\ICONPIN32.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Passenger.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\TaskbarPin\ICONPIN64.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Transform.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Pub\PubPlatform.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Pub\library_72.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\TrialSchPt.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Pub\rmuin.exe - quarantined
C:\Program Files (x86)\IObit\Driver Booster\9.0.1\Pub\ProBrcp.exe - quarantined
C:\Users\OliverZTB\AppData\Local\blitz-updater\pending\Blitz-1.16.6.exe - quarantined
C:\Users\OliverZTB\AppData\Local\blitz-updater\installer.exe - quarantined

Total 1661579457169 bytes in 744448 files scanned (1209316 objects)
Total 744406 files (1209088 objects) are clean
Total 82 files (86 objects) are infected
Total 82 files are neutralized
Total 138 files are raised error condition
Scan time is 03:49:06.507

La PC volvió a tener el problema del principio de tener la GPU al 100% en reposo después de realizar el reinicio que se solicita en el manual de uso de Dr Web Cureit

image
image1920×1080 187 KB

1 me gusta
#30

Hola buenas @oliverztb

Bueno probablemente no, pero lo mejor es que estos estén eliminados… como ya te dije la otra vez… todos estos Cracks normalmente suelen traer malware y otros regalos… así que mejor que no tengas cosas de estas en tu máquina.

Bien… antes de seguir.

Dime lo siguiente:

¿En qué momentos relacionas que aumenta el uso de la GPU? Quiero decir que cuando aumenta su uso, ¿Que cosas estás haciendo con el ordenador?

Slau2.

#31

Es aleatorio, me pasó de prender la PC y que esté durante horas con el rendimiento al máximo sin tener una carga gráfica pesada con un juego estilo Red Dead Redemption 2 (el cual sería completamente entendible que estuviera al 100%) sino con solo estar en el escritorio o con videos de youtube en 1080p nada exigente ya esta a full por un buen rato. Por ejemplo en este preciso instante estoy jugando al GTA V y está así:

image
image1920×1080 251 KB

Pero hay veces en los que está con los mismos parámetros solo en escritorio.

1 me gusta
#32

OK. Debemos asegurar que tu máquina esta limpia.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

#33

Antes que nada, inmediatamente después de realizar todo lo solicitado, la GPU vuelve a tener valores normales para estar en estado de reposo/sin carga gráfica y dejo aviso que Adwcleaner.exe no me pidió reiniciar el sistema al terminar la limpieza.

image
image1920×1080 215 KB

Adjunto los reportes correspondientes.

MalwareBytes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 9/12/21
Hora del análisis: 8:35
Archivo de registro: 2abab0b2-58e4-11ec-900d-18c04d3bfb86.json

-Información del software-
Versión: 4.4.11.149
Versión de los componentes: 1.0.1513
Versión del paquete de actualización: 1.0.48358
Licencia: Caducado

-Información del sistema-
SO: Windows 10 (Build 19044.1387)
CPU: x64
Sistema de archivos: NTFS
Usuario: OliverZTB\OliverZTB

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 838990
Amenazas detectadas: 1
Amenazas en cuarentena: 0
Tiempo transcurrido: 4 hr, 13 min, 33 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
Malware.Sandbox.23, C:\USERS\OLIVERZTB\APPDATA\LOCAL\NEW TECHNOLOGY STUDIO\APPS\OPENIV\SYSTEM\SETFOLDERPERMISSIONS.EXE, Sin acciones por parte del usuario, 23, 0, 1.0.48358, 23, dds, 01545724, CE00DFD9C4FCD94F4FC18B72A151E935, A270C280BFB7AFA6A2E4A1EED6F77F2D2A41BE1E8FD40A5E5DD5D47CB0144EEA

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Adwcleaner.exe:

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    12-09-2021
# Duration: 00:00:18
# OS:       Windows 10 Pro
# Cleaned:  2
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\OliverZTB\AppData\Roaming\IObit\Advanced SystemCare
Deleted       C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1586 octets] - [09/12/2021 12:54:35]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
#34

Hola buenas @oliverztb.

Respecto el Malwarebytes debo decirte que lo tendrás que volver a ejecutar de nuevo.

Recuerda que las amenazas que este te detecte las pones en la Cuarentena. Es decir, no se deben de quedar en este estado:

Sin acciones por parte del usuario

Lo pasas de nuevo, pones en Cuarentena lo que te detecte y me traes el log.

Bien, ahora que ha pasado ya unos 4 días… ¿Cómo sigue el ordenador? ¿Sigue igual de bien que comentaste esta última vez: ?

Salu2.