Win32:RmnDrp

Buenas, hace unas semanas que mi antivirus empezó a detectar archivos que nunca antes detecto como si estuvieran infectados y los manda a la cuarentena por un supuesto virus llamado "Win32:RmnDrp, pense que era un problema del avast pero probe con otro antivirus y sigue lo mismo, probe todos los programas habidos y por haber y sigue persistiendo este error, es fastidioso porque no me deja usar programas como venia haciendo desde siempre, espero que me puedan ayudar, desde ya gracias.

Hola @hustleboi

Bienvenido a esta nueva etapa de InfoSpyware!!!

Puedes decirme donde te lo detecta, pegar el reporte del Av, o bien tomar una imagen?

Como subir imágenes al Foro?

Además aunque hayas hecho alguno de los pasos realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos:

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.

  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes

  • No olvides actualizarlo.
  • Lee detenidamente su Manual
  • Realiza un Análisis Personalizado marcando todas las unidades
  • Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
  • Reinicias el Sistema.
  • En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.

Guía: [size=2]¿Como Pegar reportes en el Foro?[/size]

Nos comentas.

Salu2

avgg

Esto me aparece pero en vez de “M1.dll” aparece con diferentes nombres de archivos que yo conozco.

Reporte MBAM:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 12/7/19
Hora del análisis: 3:23
Archivo de registro: 8fe2a2c0-a46d-11e9-8720-00ff2f71c4e2.json

-Información del software-
Versión: 3.8.3.2965
Versión de los componentes: 1.0.613
Versión del paquete de actualización: 1.0.11516
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x86
Sistema de archivos: NTFS
Usuario: Usuario-PC\Usuario

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 470610
Amenazas detectadas: 12
Amenazas en cuarentena: 12
Tiempo transcurrido: 6 hr, 27 min, 56 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 12
PUP.Optional.WinThruster, C:\ADWCLEANER\QUARANTINE\C\WINDOWS\SYSTEM32\ROBOOT.EXE.VIR, En cuarentena, [1545], [461217],1.0.11516
HackTool.Agent, C:\PROGRAM FILES\MIRILLIS\ACTION!\MIRILLIS ACTION! V1.3.0.0 TБRKЗE & LISANS FULL PATCH.EXE, En cuarentena, [3932], [1570],1.0.11516
HackTool.FilePatch, C:\PROGRAM FILES\DIGIDNA\IMAZING\PATCH.EXE, En cuarentena, [7687], [281135],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE\DEVCON_X86.EXE, En cuarentena, [3187], [361649],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE\DEVCON_X64.EXE, En cuarentena, [3187], [361649],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE\CRASHRPT.DLL, En cuarentena, [3187], [361649],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE\LSUSB.EXE, En cuarentena, [3187], [117172],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE\DRIVERINSTALL_X64.EXE, En cuarentena, [3187], [117172],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE\OUTLOOKOPERATORC.EXE, En cuarentena, [3187], [117172],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE\DRIVERINSTALL_X86.EXE, En cuarentena, [3187], [117172],1.0.11516
Adware.MoboGenie, C:\USERS\USUARIO\DESKTOP\USER\APPDATA\LOCAL\MOBOGENIE\VERSION\OLDVERSION\MOBOGENIE2.2.0.ZIP, En cuarentena, [3187], [117172],1.0.11516
RiskWare.GameHack, C:\WINDOWS\PSS\ATI.EXE.STARTUP, En cuarentena, [7539], [615255],1.0.11516

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Reporte AdwCleaner:

# -------------------------------
# Malwarebytes AdwCleaner 7.3.0.0
# -------------------------------
# Build:    04-04-2019
# Database: 2019-06-28.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    07-12-2019
# Duration: 00:00:21
# OS:       Windows 7 Ultimate
# Scanned:  27557
# Detected: 15


***** [ Services ] *****

PUP.Optional.Legacy             WCAssistantService

***** [ Folders ] *****

PUP.Optional.WebCompanion       C:\Program Files\Lavasoft\Web Companion
PUP.Optional.WebCompanion       C:\ProgramData\Application Data\Lavasoft\Web Companion
PUP.Optional.WebCompanion       C:\ProgramData\Lavasoft\Web Companion
PUP.Optional.WebCompanion       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion
PUP.Optional.WebCompanion       C:\Users\Usuario\AppData\Local\Lavasoft\WEBCOMPANION.EXE_URL_F5DB2C2EOTB405ZBCLGX4OBR3TGWDJ1T
PUP.Optional.WebCompanion       C:\Users\Usuario\AppData\Roaming\Lavasoft\Web Companion

***** [ Files ] *****

PUP.Optional.WebCompanion       C:\Users\Usuario\AppData\Local\Temp\WebCompanion.zip

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy             HKCU\Software\Microsoft\Internet Explorer\Main|Start Page
PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Web Companion
PUP.Optional.SpyHunter          HKLM\Software\EnigmaSoftwareGroup
PUP.Optional.WebCompanion       HKCU\Software\Lavasoft\Web Companion
PUP.Optional.WebCompanion       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion       HKLM\Software\Lavasoft\Web Companion

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

PUP.Optional.Legacy             http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10440__190712


AdwCleaner[S00].txt - [2752 octets] - [28/06/2019 00:59:57]
AdwCleaner[C00].txt - [2606 octets] - [28/06/2019 01:08:47]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

Reporte ZHPL:

~ ZHPCleaner v2019.7.11.96 by Nicolas Coolman (2019/07/11)
~ Run by Usuario (Administrator)  (12/07/2019 03:20:21)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Reparar
~ Report : C:\Users\Usuario\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Usuario\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Ultimate, 32-bit Service Pack 1 (Build 7601)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (1)
BORRADOS dados: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : 192.168.*.*;*.local]  =>Hijacker.Proxy


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (43)
MOVIDO carpeta: C:\Users\Usuario\Desktop\µTorrent.lnk  [Bad : C:\Users\Usuario\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
MOVIDO carpeta: C:\Users\Usuario\AppData\Roaming\Mozilla\Firefox\Profiles\9pk8ykz7.default\searchplugins\yahoo.xml    =>PUP.Optional.BDYahoo
MOVIDO carpeta: C:\Users\Usuario\AppData\Local\UmmyVideoDownloader\UmmyVideoDownloader.exe [ - UmmyVideoDownloader]  =>Adware¨Pirrit
MOVIDO carpeta: C:\Windows\System32\drivers\mcaudrv.sys [Visicom Media Inc. - ManyCam Virtual Microphone]  =>ManyCam LLC
MOVIDO carpeta: C:\Windows\System32\drivers\mcvidrv.sys [Visicom Media Inc. - ManyCam Virtual Webcam Driver]  =>ManyCam LLC
MOVIDO carpeta: C:\Windows\Installer\wix{0658F3CB-BEA8-4E72-87BC-3B58A83E5560}.SchedServiceConfig.rmi    =>.SUP.Empty
MOVIDO carpeta: C:\Windows\Installer\wix{2218B6FE-7215-4EC9-B0E7-F47674AFA2F5}.SchedServiceConfig.rmi    =>.SUP.Empty
MOVIDO carpeta: C:\Windows\Installer\wix{2A2C8640-5402-428A-909A-0236CB2B77C7}.SchedServiceConfig.rmi    =>.SUP.Empty
MOVIDO carpeta: C:\Windows\Installer\wix{BA476373-DAE7-4E51-957A-F43F01D9FACD}.SchedServiceConfig.rmi    =>.SUP.Empty
MOVIDO carpeta: C:\Windows\Installer\wix{BD40DFE8-9908-43A8-93C0-67608DD3D400}.SchedServiceConfig.rmi    =>.SUP.Empty
MOVIDO carpeta: C:\Windows\Installer\MSI2AB9.tmp    =>.SUP.MSIInstaller
MOVIDO carpeta: C:\Windows\Installer\MSI5C0F.tmp    =>.SUP.MSIInstaller
MOVIDO carpeta: C:\Windows\Installer\MSI7CF0.tmp [ - Anti-Keylogger Installer Tool API]  =>.SUP.MSIInstaller
MOVIDO carpeta: C:\Windows\Installer\MSIB398.tmp    =>.SUP.MSIInstaller
MOVIDO carpeta: C:\Windows\Installer\MSIEB0E.tmp    =>.SUP.MSIInstaller
MOVIDO carpeta*: C:\Program Files\Lavasoft\web companion    =>PUP.Optional.LavasoftWebCompanion
MOVIDO carpeta*: C:\ProgramData\Lavasoft\web companion    =>PUP.Optional.LavasoftWebCompanion
MOVIDO archivo: C:\Users\Usuario\AppData\Roaming\Mozilla\Firefox\Profiles\9pk8ykz7.default\browser-extension-data\[email protected]  =>.SUP.BrowserExtension
MOVIDO archivo: C:\Users\Usuario\AppData\Local\UmmyVideoDownloader  =>Adware¨Pirrit
MOVIDO archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UmmyVideoDownloader  =>Adware¨Pirrit
MOVIDO archivo: C:\Users\Usuario\AppData\Roaming\HMYGSetting  =>Adware.Suspect
MOVIDO archivo: C:\Program Files\DLLEscort2018  =>.SUP.DLLescort
MOVIDO archivo: C:\Program Files\InterLok  =>.SUP.Empty
MOVIDO archivo: C:\Program Files\RSUPPORT  =>.SUP.Empty
MOVIDO archivo: C:\Program Files\Lavasoft\Web Companion  =>PUP.Optional.LavasoftWebCompanion
MOVIDO archivo: C:\Program Files\QuickTime  =>Riskware.QuickTime
MOVIDO archivo: C:\ProgramData\lavasoft\web companion  =>PUP.Optional.LavasoftWebCompanion
MOVIDO archivo: C:\ProgramData\Application Data\lavasoft\web companion  =>PUP.Optional.LavasoftWebCompanion
MOVIDO archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime
MOVIDO archivo: C:\Users\Usuario\AppData\Local\{0F376500-DFBE-47DE-A1F0-B86761A82BF2}  =>.SUP.Empty
MOVIDO archivo: C:\Users\Usuario\AppData\Local\{6859D162-847E-4525-84F5-77CE958BACA9}  =>.SUP.Empty
MOVIDO archivo: C:\Users\Usuario\AppData\Local\{C1C46F64-CDA0-44F3-B198-D652F918E413}  =>.SUP.Empty
MOVIDO archivo: C:\Windows\Installer\MSI2ABC.tmp-  =>.SUP.Empty
MOVIDO archivo: C:\Windows\Installer\MSI3342.tmp-  =>.SUP.Empty
MOVIDO archivo: C:\Windows\Installer\MSI3D53.tmp-  =>.SUP.Empty
MOVIDO archivo: C:\Windows\Installer\MSI9851.tmp-  =>.SUP.Empty
MOVIDO archivo: C:\Windows\Installer\MSI9C86.tmp-  =>.SUP.Empty
MOVIDO archivo: C:\Windows\Installer\MSIA519.tmp-  =>.SUP.Empty
MOVIDO archivo: C:\Users\Usuario\AppData\LocalLow\DefaultCompany  =>.SUP.Empty
MOVIDO archivo: C:\Users\Usuario\AppData\LocalLow\EmieBrowserModeList  =>.SUP.Empty
MOVIDO archivo: C:\Users\Usuario\AppData\LocalLow\EmieSiteList  =>.SUP.Empty
MOVIDO archivo: C:\Users\Usuario\AppData\LocalLow\EmieUserList  =>.SUP.Empty
MOVIDO archivo: C:\Users\Usuario\AppData\LocalLow\SUPERHOT Team  =>.SUP.Empty


---\\  Registro ( Claves, Valores, Datos) (27)
BORRADOS dados: HKLM\SOFTWARE\Classes\AvgHTML\Shell\Open\Command\\Default [Bad : [html] "C:\Program Files\AVG\Browser\Application\AVGBrowser.exe" -- "%1"]  =>Broken.OpenCommand
BORRADOS clave*: HKEY_USERS\S-1-5-21-3146354937-2461503630-4080536050-1000\SOFTWARE\Magicbit []  =>.SUP.Magicbit
BORRADOS clave*: HKEY_USERS\S-1-5-21-3146354937-2461503630-4080536050-1000\SOFTWARE\Tencent []  =>.SUP.Tencent
BORRADOS clave**: HKCU\Software\Magicbit []  =>.SUP.Magicbit
BORRADOS clave**: HKCU\Software\Tencent []  =>.SUP.Tencent
BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
BORRADOS clave*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{06e9c7da-30c4-4557-9003-0dc4021e9d29} [Lavasoft]  =>PUP.Optional.LavasoftWebCompanion
BORRADOS clave*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} [AVG Technologies]  =>Heuristic.Suspect
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\AVG\Browser\Application\AVGBrowser.exe [AVG Secure Browser]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Google\Chrome\Application\chrome.exe [Google Chrome]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe [Adobe Acrobat Reader DC ]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Sony\ACID Pro 7.0\acid70.exe [ACID Pro 7.0]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Internet Explorer\iexplore.exe [Internet Explorer]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\iTunes\iTunes.exe [iTunes]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\PROGRA~1\MICROS~2\Office14\OIS.EXE [Microsoft Office 2010]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Windows Photo Viewer\PhotoViewer.dll [Visualizador de fotos de Windows]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\WinRAR\WinRAR.exe [WinRAR archiver]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Microsoft Office\Office14\WINWORD.EXE [Microsoft Word]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Windows Media Player\wmplayer.exe [Reproductor de Windows Media]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Windows NT\Accessories\WORDPAD.EXE [WordPad]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Users\Usuario\AppData\Local\UmmyVideoDownloader\UmmyVideoDownloader.exe [UmmyVideoDownloader]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Users\Usuario\AppData\Roaming\Spotify\Spotify.exe [Spotify]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\iZotope\RX 7 Audio Editor\win32\iZotope RX 7 Audio Editor.exe [iZotope RX 7 Audio Editor]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe [Malwarebytes]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\RogueKiller\RogueKiller.exe [Anti-Malware Scan and Removal]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Users\Usuario\Desktop\adwcleaner_7.3.exe [AdwCleaner]  =>.SUP.Orphan.MUICache
BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Users\Usuario\Desktop\ZHPCleaner.exe [ZHPCleaner]  =>.SUP.Orphan.MUICache


---\\  Resumen de elementos en su estación de trabajo (17)
https://nicolascoolman.eu/2017/04/03/hijacker-proxy/  =>Hijacker.Proxy
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>PUP.Optional.BDYahoo
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>Adware¨Pirrit
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>ManyCam LLC
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Empty
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.MSIInstaller
https://nicolascoolman.eu/2017/03/12/superfluous-lavasoftwebcompanion/  =>PUP.Optional.LavasoftWebCompanion
https://nicolascoolman.eu/2017/10/05/sup-browserextension/  =>.SUP.BrowserExtension
https://nicolascoolman.eu/2017/03/02/adware-suspect/  =>Adware.Suspect
https://nicolascoolman.eu/2018/02/16/sup-dllescort/  =>.SUP.DLLescort
https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>Broken.OpenCommand
https://nicolascoolman.eu/2017/12/23/sup-magicbit/  =>.SUP.Magicbit
https://nicolascoolman.eu/2017/02/23/tencentadressbar/  =>.SUP.Tencent
https://nicolascoolman.eu/2017/01/28/heuristic-suspect/  =>Heuristic.Suspect
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Orphan.MUICache


---\\ Limpieza adicional. (12)
~ Clave de registro Tracing borrados (12)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ falta este navegador! (Opera Software)


---\\ STATISTIQUES
~ Items escaneado : 2288
~ Items encontrado : 0
~ artículos cancelados : 0
~ Items opciones : 12/12
~ Ahorro de espacio (bytes) : 0


~ End of clean in 00h01mn13s

---\\  Reporte (2)
ZHPCleaner-[S]-12072019-03_18_58.txt
ZHPCleaner-[R]-12072019-03_21_34.txt

Tambien suele aparecerme el cartel de AVG luego de que la pc esta en reposo, muevo el mouse y aparece de la nada el cartel.

Hola @hustleboi

El problema que tienes es que el virus Win32:RmnDrp es un infector de archivos por lo cual puede replicarse en todo el Sistema.

1.- Descarga y ejecuta un análisis con Dr. Web

  • Sigue atentamente los pasos de su Manual.
  • Salva el reporte y pegalo en tu próxima respuesta.

2.- Luego de reiniciar Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

3.- Descarga UsbFix a tu escritorio :

  • Conecte todos sus dispositivos extraibles, USB/Pendrive\Micro SD, etc.
  • Ejecute USBFix.exe

  • Una vez conectados todos sus dispositivos presione en “Ejecutar análisis.”
  • Posteriormente seleccione “Full Análisis” y espere a que termine.
  • En caso de detectar amenazas, seleccione todo los elementos detectados y presione “Limpiar todo”
  • Si le pidiera reiniciar el sistema, Acepte .
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado.
  • Copie y pegue entero dicho reporte en su próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio)

Muy Importante: Una vez terminado el análisis, con todas las unidades conectadas, vuelva a ejecutar USBFix como Administrador, y vacune los mismos, siguiendo los pasos del Manual.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2.

REPORTE DR WEB

Total 146599064662 bytes in 453011 files scanned (707611 objects)
Total 451003 files (705535 objects) are clean
Total 1989 files are infected
Total 1989 files are neutralized
Total 85 files are raised error condition
Scan time is 05:59:05.980

REPORTE USBFIX

Se creo un archivo .txt pero esta vacio.

# ----------------------------------------------------
# UsbFix Antivirus Free
# ----------------------------------------------------
# Versión : 11.016
# Base de datos : 2019.05.21 
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : Usuario (Administrador)
# Dispositivo : USUARIO-PC
# Comenzó : 14/07/2019 13:36:00
# ----------------------------------------------------

------------ | Discos analizados |

C:\	NTFS	(18GB/149GB)	[Fixed] 
E:\	FAT32	(13GB/14GB)	[Removable] 

------------ | Elemento(s) infectado(s) |

Not selected! E:\no son 

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] Explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
04 - HKLM\..\Run : [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe" -s
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKLM\..\Run : [Wondershare Helper Compact.exe] C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
04 - HKLM\..\Run : [AVGUI.exe] "C:\Program Files\AVG\Antivirus\AvLaunch.exe" /gui
04 - HKU\S-1-5-21-3146354937-2461503630-4080536050-1000\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR

------------ | Tasks |

Task - Adobe Acrobat Update Task --> C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Task - Adobe Flash Player NPAPI Notifier --> C:\Windows\system32\Macromed\Flash\FlashUtil32_32_0_0_207_Plugin.exe -check plugin
Task - Adobe Flash Player PPAPI Notifier --> C:\Windows\system32\Macromed\Flash\FlashUtil32_32_0_0_207_pepper.exe -check pepperplugin
Task - Adobe Flash Player Updater --> C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task - AdobeGCInvoker-1.0-Usuario-PC-Usuario --> C:\Program Files\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe
Task - Antivirus Emergency Update --> C:\Program Files\AVG\Antivirus\AvEmUpdate.exe
Task - Avast TUNEUP Update --> C:\Program Files\AVAST Software\Avast Cleanup\TUNEUpdate.exe
Task - AVG Secure Browser Heartbeat Task (Hourly) --> C:\Program Files\AVG\Browser\Application\AVGBrowser.exe --type=heartbeat --hourly
Task - AVG Secure Browser Heartbeat Task (Logon) --> C:\Program Files\AVG\Browser\Application\AVGBrowser.exe --type=heartbeat --logon
Task - AVGUpdateTaskMachineCore --> C:\Program Files\AVG\Browser\Update\AVGBrowserUpdate.exe /c
Task - AVGUpdateTaskMachineUA --> C:\Program Files\AVG\Browser\Update\AVGBrowserUpdate.exe /ua /installsource scheduler
Task - CCleanerSkipUAC --> "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
Task - Driver Booster SkipUAC (Usuario) --> C:\Program Files\IObit\Driver Booster\5.1.0\DriverBooster.exe /skipuac
Task - GoogleUpdateTaskMachineCore --> C:\Program Files\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - Motorola Device Manager Initial Update --> "C:\Program Files\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe" -d -silent
Task - Motorola Device Manager Update --> "C:\Program Files\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe" -d -silent
Task - Red Giant Link --> "C:\Program Files\Red Giant Link\Red Giant Link.exe" --silent
Task - SidebarExecute --> C:\Program Files\Windows Sidebar\sidebar.exe /stopHidingGadgets
Task - SmartGameBooster SkipUAC (Usuario) --> C:\Program Files\PCGameBoost\Smart Game Booster\SgbMain.exe /skipuac
Task - {26892ED9-91C4-4FDB-A81A-551FA92EA74A} --> C:\Windows\system32\pcalua.exe -a "C:\Users\Usuario\Desktop\TODO\kps gta san andreas español dvd rip.exe" -d C:\Users\Usuario\Desktop\TODO
Task - {29B8F4E1-F688-4185-8CBB-15A5FEF5D5E9} --> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe
Task - {7C8B9152-3184-4BFE-ADB4-FF441317E70B} --> C:\Program Files\Adobe\Reader 11.0\Reader\AcroRd32.exe
Task - {C36ED2B9-6E97-4A63-9CB4-6783EADD7057} --> "C:\Program Files\Internet Explorer\iexplore.exe" http://www.skype.com/go/downloading?source=lightinstaller&ver=6.11.0.102&LastError=404
Task - {CE5C130E-C879-464D-A932-56FD8E4F5860} --> C:\Users\Usuario\Desktop\conuterstrike\hl.exe
Task - {F1B834B5-D41A-4552-A498-C010A2919763} --> "C:\Program Files\Internet Explorer\iexplore.exe" http://www.skype.com/go/downloading?source=lightinstaller&ver=6.11.0.102&LastError=404
Task - {F1E9ADD6-3CE5-4766-8C72-539EDD03512B} --> C:\Program Files\Adobe\Reader 11.0\Reader\AcroRd32.exe
Task - {FB5E65B0-1FF3-4FAC-9984-45D1FE20CA8D} --> C:\Program Files\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[07/11/2007 - 08:00:40 | A | 0 Ko] - eula.1041.txt
[07/11/2007 - 08:00:40 | A | 17 Ko] - eula.1028.txt
[07/11/2007 - 08:00:40 | A | 17 Ko] - eula.1031.txt
[07/11/2007 - 08:00:40 | A | 10 Ko] - eula.1033.txt
[07/11/2007 - 08:00:40 | A | 17 Ko] - eula.1036.txt
[07/11/2007 - 08:00:40 | A | 17 Ko] - eula.3082.txt
[07/11/2007 - 08:00:40 | A | 17 Ko] - eula.2052.txt
[07/11/2007 - 08:00:40 | A | 17 Ko] - eula.1042.txt
[07/11/2007 - 08:00:40 | A | 17 Ko] - eula.1040.txt
[06/12/2014 - 21:46:21 | A | 0 Ko] - AdwCleanerDebug.txt
[12/07/2015 - 14:57:50 | A | 0 Ko] - AILog.txt
[12/08/2016 - 03:49:38 | A | 0 Ko] - DelFix.txt
[23/06/2019 - 18:10:17 | A | 24 Ko] - ComboFix.txt
[03/07/2019 - 00:06:31 | A | 429 Ko] - TDSSKiller.3.1.0.28_02.07.2019_23.58.44_log.txt
[10/01/2013 - 12:59:51 | A | 2 Ko] - 0.tmp
[10/06/2009 - 18:42:20 | A | 0 Ko] - config.sys
[28/03/2011 - 09:52:18 | RASH | 0 Ko] - MSDOS.SYS
[28/03/2011 - 09:52:18 | RASH | 0 Ko] - IO.SYS
[14/07/2019 - 12:51:32 | ASH | 2048000 Ko] - pagefile.sys
[14/07/2019 - 12:52:28 | ASH | 2358952 Ko] - hiberfil.sys
[28/04/2019 - 19:27:23 | A | 27156 Ko] - ShowAlbum_Photos.sqlite
[07/11/2007 - 08:12:28 | A | 228 Ko] - VC_RED.MSI
[12/07/2019 - 18:07:35 | D] - Config.Msi
[14/07/2012 - 16:17:00 | A | 41 Ko] - LTTS_7-Carlos_HQ.log
[23/10/2012 - 11:03:28 | A | 91 Ko] - LTTS_7-RemoteAPI.log
[23/10/2012 - 12:32:32 | A | 453 Ko] - LTTS_7-EngineFull.log
[23/10/2012 - 12:35:13 | A | 3386 Ko] - LTTS_7-SDK.log
[23/10/2012 - 12:41:00 | A | 265 Ko] - LTTS_7-Spanish.log
[23/10/2012 - 12:50:22 | A | 263 Ko] - LTTS_7-Ximena_HQ.log
[29/05/2013 - 15:41:29 | A | 257 Ko] - LTTS_7-Diego_HQ.log
[29/05/2013 - 15:44:05 | A | 262 Ko] - LTTS_7-Carmen_HQ.log
[29/05/2013 - 15:45:34 | A | 261 Ko] - LTTS_7-Jorge_HQ.log
[03/07/2019 - 05:15:38 | A | 127 Ko] - rmneshta.log
[07/11/2007 - 08:00:40 | A | 1 Ko] - globdata.ini
[07/11/2007 - 08:00:40 | A | 1 Ko] - install.ini
[14/07/2019 - 13:26:47 | D] - autorun.inf
[07/11/2007 - 08:03:18 | A | 80 Ko] - install.res.1041.dll
[07/11/2007 - 08:03:18 | A | 74 Ko] - install.res.2052.dll
[07/11/2007 - 08:03:18 | A | 89 Ko] - install.res.1033.dll
[07/11/2007 - 08:03:18 | A | 94 Ko] - install.res.3082.dll
[07/11/2007 - 08:03:18 | A | 93 Ko] - install.res.1040.dll
[07/11/2007 - 08:03:18 | A | 94 Ko] - install.res.1031.dll
[07/11/2007 - 08:03:18 | A | 78 Ko] - install.res.1042.dll
[07/11/2007 - 08:03:18 | A | 75 Ko] - install.res.1028.dll
[07/11/2007 - 08:03:18 | A | 95 Ko] - install.res.1036.dll
[02/11/2016 - 05:35:06 | A | 3473 Ko] - FL Studio VSTi (Multi).dll
[02/11/2016 - 05:36:24 | A | 3473 Ko] - FL Studio VSTi.dll
[12/02/2017 - 00:37:11 | A | 900 Ko] - PA7302.DAT
[07/11/2007 - 08:09:22 | A | 1409 Ko] - VC_RED.cab
[07/11/2007 - 08:00:40 | A | 6 Ko] - vcredist.bmp
[23/06/2019 - 18:00:14 | SHD] - $RECYCLE.BIN
[10/06/2009 - 18:42:20 | A | 0 Ko] - autoexec.bat
[13/07/2009 - 23:37:05 | D] - PerfLogs
[14/07/2009 - 01:53:55 | SHD] - Documents and Settings
[18/03/2011 - 12:38:52 | SHD] - Archivos de programa
[18/03/2011 - 17:24:03 | RD] - MSOCache
[07/10/2011 - 17:50:26 | D] - Samsung
[02/11/2011 - 20:25:06 | D] - output
[18/02/2012 - 21:07:56 | D] - Consola
[30/06/2012 - 15:51:48 | D] - MoTemp
[26/02/2013 - 13:32:02 | AH | 0 Ko] - CA9B3D99881B
[14/02/2014 - 23:46:40 | D] - inetpub
[23/10/2014 - 13:17:39 | D] - Recovery
[03/12/2014 - 23:11:43 | AH | 0 Ko] - 30D6D3550F90
[07/11/2015 - 19:49:02 | D] - FFOutput
[27/11/2015 - 16:49:10 | A | 0 Ko] - Cookies
[24/04/2016 - 20:49:29 | AH | 0 Ko] - B798F585BD4E
[16/03/2017 - 08:02:24 | D] - 49324f8142c141f8fdc2
[28/06/2017 - 13:57:59 | D] - Android
[29/01/2018 - 21:11:15 | D] - $AV_ASW
[29/01/2018 - 21:16:37 | D] - 3DP
[15/06/2018 - 21:15:41 | RD] - Users
[10/09/2018 - 17:00:04 | D] - Program Files (x86)
[11/10/2018 - 00:54:36 | D] - Converted Music
[19/11/2018 - 14:26:53 | D] - VstPlugins
[19/03/2019 - 16:23:58 | D] - Games
[28/04/2019 - 18:16:41 | D] - iCareFone
[28/04/2019 - 18:29:31 | D] - iTunes_Control
[28/04/2019 - 18:33:03 | D] - Tenorshare
[23/06/2019 - 02:01:25 | D] - 9ac88258c7dd212b5ad9b2
[23/06/2019 - 18:10:23 | D] - Qoobox
[28/06/2019 - 00:59:57 | D] - AdwCleaner
[12/07/2019 - 02:49:52 | D] - Windows
[12/07/2019 - 16:36:14 | AD] - ProgramData
[12/07/2019 - 16:57:43 | D] - WPAPI
[12/07/2019 - 16:57:43 | D] - Common Files
[14/07/2019 - 06:34:18 | D] - wally
[14/07/2019 - 12:54:02 | D] - Temp
[14/07/2019 - 13:06:58 | D] - Program Files

------------ | E:\ - Disco extraíble (FAT32) |

[14/07/2019 - 13:26:50 | D] - autorun.inf
[01/12/2017 - 00:49:52 | HD] - no son 
[25/01/2018 - 22:22:36 | D] - ACAPELLAS VIEJAS MEGA TOOL
[21/04/2018 - 02:45:54 | D] - MUSICA
[12/07/2019 - 22:52:14 | D] - Waves

Elemento(s) infectado(s) : 2
Elementos analizados : 64911 en 00h 00m 25s

# UsbFix-Report-02.txt [9822B]

------------ | E.O.F  |
Total 1989 files are infected
Total 1989 files are neutralized
Total 85 files are raised error condition

Como te comente el malware Ramnit , es un avanzado virus tipo gusano con funcionalidades de rootkit infector de archivos, por lo cual se replica muy rápido la infección.

Si puedes lo mas recomendable seria formatear todo.


Si aun deseas continuar realiza lo siguiente:

Paso 1.- Análisis del PC con Eset Online Scaner : Manual de Uso

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

NOTAS IMPORTANTES:

  1. En tu próxima respuesta, debes pegar el reporte de Eset…

  2. En el caso de Kasperky Virus Removal Tool no te dará un reporte, toma una imagen de todo lo detectado y la subes en tu próxima respuesta.

Guías:

Paso 2.- Luego de reiniciar descargas la herramienta W32.Ramnit Removal Tool a tu escritorio.

  • Cierra todos los programas.
  • Ejecutas el archvio FxRamnit.exe
  • Aceptas el acuerdo de licencia presionando en Accept
  • Presiona en Start para que comience a ejecutarse la herramienta.
  • Al finalizar se abrirá el archivo FxRamnit.log que se ubicara en tu escritorio.
  • Si te pides reiniciar aceptas.

Nos pegas también ese reporte.


[23/06/2019 - 18:10:17 | A | 24 Ko] - ComboFix.txt

El 23/6 ejecutaste Combofix busca ese reporte en C:\ComboFix.txt y lo pegas en tu próxima respuesta.

Salu2

ESET ANALISIS.txt (4,3 KB)

FxRamnit.txt (68 Bytes)

ComboFix.txt (24,4 KB)

KASPERSKY

Hola @hustleboi

Que paso con la herramienta FxRammit te encontró algo?, ya que el reporte se ve vació.


El reporte de Karspesky se ve que te detecto muchas infecciones, pero las seleccionaste para que las elimine?

Si no, realiza los pasos nuevamente siguiendo su Manual.


En cuanto al Sistema como lo encuentras esta estable?, ya que hay muchos archivos infectados detectado por cada herramienta.

Nos comentas.

Salu2

Por ahora va 1 día y no apareció la ventana del antivirus, Rammit no me detectó nada y lo de Kaspersky lo hice según me recomendaba el programa, creo que esta solucionado, cualquier cosa te comento.

Gracias por la ayuda.

Hola:

Perfecto, pero no esperes mucho, si puedes vuelve a ejecutar DR: Web y realiza un ultimo análisis con el.

Ademas prueba el Sistema a ver si tienes algún fallo.


Para eliminar las herramientas utilizadas:

Descargas >> [size=2]Delfix[/size], a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


Que bueno que hayamos podido resolver tu consulta…:+1:

Para otros problemas, ya sabes donde encontrarnos. :wink:

Si necesitas reabrir el tema me envías un MP.

Tema Solucionado

Salu2.