Windows Defender/Security Center desactivado por troyano


#1

Hola, gente. Estoy teniendo un gran problema en mi notebook con Windows 10 Home, y lo que sucede es que la aplicación de defensa misma de Microsoft, conocida como Windows Defender o Windows Security Center hace ya unos días se encuentra desactivada y no hay forma de volver a hacerla funcionar. Al iniciar el equipo, esta app no se inicia, dejando al equipo expuesto totalmente a riesgos. Al abrirla manualmente, lo que sucede es lo siguiente:

Utilizando programas como Malware Bytes y RKill, encontré, gracias al primero, archivos dañinos relacionados a un virus troyano bancario, minador de bitcoins, los cuales fueron removidos inmediatamente. A su vez, había modificaciones en el registro que desactivaban Windows Defender. También fueron removidos. Sin embargo, la aplicación sigue comportándose igual. Gracias a RKill, se encontró que había otro registro más, el cual fue nuevamente modificado, lo cual no surtió efecto, y posteriormente eliminado, lo cual tampoco arregló el problema.

¿Alguien tiene algún tipo de idea de cómo arreglar este problema? Actualmente me estoy manejando con el antivirus de ESET, pero realmente no me gusta para nada que Windows Defender siga desactivado y comportándose como en la imagen más arriba.

Muchísimas gracias!


#2

Hola, y bienvenido.

Coloca los reportes de Malwarebytes y Rkill, el del MBAM se encuentra en Informes, y el .txt de Rkill debe encontrarse en la misma ubicación desde donde lo ejecutaste. Revisare para ver si has realizado correctamente los pasos.

Saludos.


#3

Malwarebytes:

Fueron dos scans, uno ayer (el primero) y otro hace unos minutos (el segundo)

Primero:

Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 2/19/19
Scan Time: 11:35 PM
Log File: 32f7f0ee-34b8-11e9-99f2-3c5282de4ff3.json

-Software Information-
Version: 3.7.1.2839
Components Version: 1.0.538
Update Package Version: 1.0.9346
License: Trial

-System Information-
OS: Windows 10 (Build 17763.253)
CPU: x64
File System: NTFS
User: ERICKS-HP-LAPTO\geric

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 316388
Threats Detected: 8
Threats Quarantined: 8
Time Elapsed: 4 min, 43 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 1
Trojan.BitCoinMiner, C:\WINDOWS\SYSTEM32\WINLOGUI.EXE, Quarantined, [603], [582017],1.0.9346

Module: 1
Trojan.BitCoinMiner, C:\WINDOWS\SYSTEM32\WINLOGUI.EXE, Quarantined, [603], [582017],1.0.9346

Registry Key: 0
(No malicious items detected)

Registry Value: 1
Trojan.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|winlogui, Quarantined, [603], [582017],1.0.9346

Registry Data: 3
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Replaced, [13193], [293294],1.0.9346
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Replaced, [13193], [293295],1.0.9346
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Replaced, [13193], [293296],1.0.9346

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 2
Trojan.BitCoinMiner, C:\WINDOWS\SYSTEM32\WINLOGUI.EXE, Quarantined, [603], [582017],1.0.9346
Misplaced.Legit.BatBitRst, C:\PROGRAM FILES (X86)\YEPUESWN.EXE, Quarantined, [10717], [632788],1.0.9346

Physical Sector: 0
(No malicious items detected)

WMI: 0
(No malicious items detected)


(end)

Segundo:

Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 2/20/19
Scan Time: 1:41 PM
Log File: 4f0bab38-352e-11e9-8d85-3c5282de4ff3.json

-Software Information-
Version: 3.7.1.2839
Components Version: 1.0.538
Update Package Version: 1.0.9356
License: Trial

-System Information-
OS: Windows 10 (Build 17763.253)
CPU: x64
File System: NTFS
User: System

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Scheduler
Result: Completed
Objects Scanned: 316656
Threats Detected: 2
Threats Quarantined: 2
Time Elapsed: 11 min, 13 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 1
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Replaced, [13195], [293296],1.0.9356

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 1
Misplaced.Legit.BatBitRst, C:\PROGRAM FILES (X86)\YEPUESWN.EXE, Quarantined, [10718], [632788],1.0.9356

Physical Sector: 0
(No malicious items detected)

WMI: 0
(No malicious items detected)


(end)

RKill:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2019 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 02/20/2019 12:24:32 PM in x64 mode.
Windows Version: Windows 10 Home 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 02/20/2019 12:25:55 PM
Execution time: 0 hours(s), 1 minute(s), and 23 seconds(s)

#4

Tienes el Malwarebytes puesto en ingles o no es legal? cambialo de Ingles a >> Español Saludos.


#5

Simplemente está en inglés. Ahora lo cambio a español y vuelvo a adjuntar el informe.


#6

Solo cambia a Español, no necesitamos de nuevo los informes, solo para que sigas los pasos ya que tenemos en español nada mas. Avisame cuando lo cambias para darte los pasos.

Saludos


#7

Todo listo, ya estoy preparado para seguir los pasos.


#8

Bien, ahora realiza los siguientes pasos, leyendo detalladamente y sin cambiar el orden.

1) Actualiza y ejecuta Malwarebytes’ Anti-Malware,

Manual Malwarebytes , para que sepas usarlo y configurarlo.

  • Realiza un Análisis Personalizado, haciendo click en la sección “ Analizar ” y seguidamente haciendo click “ Analisis personalizado ” en y luego click en “ Configurar análisis ”, marcando Todas las casillas incluida la de rootkits y unidades que se muestran.
  • Pulsar en “Eliminar Seleccionados” para enviarlo a la cuarentena y Reinicias el sistema.
  • Para acceder posteriormente al informe del análisis : Informes >> Registro de análisis >> Pulsar en >> Exportar >> Copiar al Portapapeles, y lo pegas en tu respuesta

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Iniciar Reparacion.
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • Si no encuentra nada, pulsamos “Omitir Reparación”
  • El log lo encontramos en la pestaña “Informes”, volviendo a abrir el programa, si es necesario o en"C:\AdwCleaner\Logs\AdwCleaner[C0].txt"

Puedes mirar su manual >> Manual de Adwcleaner

3) Descarga Ccleaner . Aqui tienes manual para que sepas configurar y usarlo.

Instalalo y ejecútalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.

Pega los reportes de Malwarebytes, AdwCleaner y comentas como va el problema.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo :

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA(programas/software/complementos/extensiones del navegador…)
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…)
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca el reporte pedido por el usuario que lo asiste como se muestra en la siguiente imagen:

Saludos


#9

Reporte MBAM:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 20/2/19
Hora del análisis: 14:22
Archivo de registro: 21da95a6-3534-11e9-83f2-3c5282de4ff3.json

-Información del software-
Versión: 3.7.1.2839
Versión de los componentes: 1.0.538
Versión del paquete de actualización: 1.0.9356
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 17763.253)
CPU: x64
Sistema de archivos: NTFS
Usuario: ERICKS-HP-LAPTO\geric

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 398323
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 2 hr, 15 min, 2 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Reporte Adwcleaner:

# -------------------------------
# Malwarebytes AdwCleaner 7.2.7.0
# -------------------------------
# Build:    01-30-2019
# Database: 2019-02-19.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    02-20-2019
# Duration: 00:00:04
# OS:       Windows 10 Home
# Cleaned:  7
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\FreeDownloadManagerNetworkMonitor

***** [ Registry ] *****

Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FreeDownloadManagerNetworkMonitor
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
Deleted       HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}
Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1952 octets] - [20/02/2019 16:47:58]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

El problema persiste. Windows Defender, al abrirse manualmente, se sigue mostrando de la misma manera. MBAM no encontró ninguna amenaza, y Adwcleaner encontró unas 7 si no me equivoco las cuales fueron puestas en cuarentena. CCleaner encontró un par de archivos de caché y demás, pero nada importante, junto con unos .dll faltantes y otras cosas debida a desinstalación de programas.

No sé cómo proseguir…


#10

Hola,

Descarga los siguientes programas y dejalos en el escritorio:

:one:

  • Ejecuta como admnistrador Rkill
  • Se abrira una consola similar a CMD
  • Deja que trabaje de 2 a 5 minutos
  • Pega el reporte que esta dentro de Rkill.txt guardado en el escritorio. :warning: No reinicies el PC al terminar, y sigue con MBAM anti-rootkit :warning:

:two:

Espero sus reportes y respectivos comentarios si aun sigue detectando. Saludos.


#11

Reporte Rkill:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2019 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 02/20/2019 08:51:00 PM in x64 mode.
Windows Version: Windows 10 Home 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 02/20/2019 08:53:10 PM
Execution time: 0 hours(s), 2 minute(s), and 9 seconds(s)

Reporte MBAM Anti-Rootkit:

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2019.02.20.08
  rootkit: v2019.02.20.08

Windows 8 x64 NTFS (Safe Mode)
Internet Explorer 11.253.17763.0
geric :: ERICKS-HP-LAPTO [administrator]

20/2/2019 21:03:07
mbar-log-2019-02-20 (21-03-07).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 223001
Time elapsed: 11 minute(s), 6 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Seguí todos los pasos al pie de la letra pero el problema lamentablemente persiste… Creo que la solución más factible será hacer una copia de seguridad de los datos más importantes y formatear o reinstalar windows…


#12

Quedate tranquilo, vamos a analizar nuevamente tu equipo en busca de virus para descartar que sea este el problema principal, si no lo es, intentaremos reparar tu equipo.

Ahora realiza un escaneo con ESET Online Scanner, HitmanPRO y Kaspersky Virus Removal Tool y me pegas sus reportes.

  1. Manual ESET Online Scanner
  2. Manual HitmanPRO
  3. Kaspersky Virus Removal Tool

#13

Reporte ESET Online Scanner:

21/2/2019 13:17:29
Archivos explorados: 244559
Archivos infectados: 0
Amenazas eliminadas: 0
Tiempo total de exploración: 01:19:54
Estado de la exploración: Finalizado

Reporte HitmanPRO

HitmanPro 3.8.0.295
www.hitmanpro.com

   Computer name . . . . : ERICKS-HP-LAPTO
   Windows . . . . . . . : 10.0.0.17763.X64/4
   User name . . . . . . : ERICKS-HP-LAPTO\geric
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2019-02-21 13:25:06
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 7m 12s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 0

   Objects scanned . . . : 1.957.630
   Files scanned . . . . : 63.764
   Remnants scanned  . . : 436.660 files / 1.457.206 keys

Reporte KVRT: No pude copiar el reporte como código, por lo que adjunto una captura de pantalla. Esta herramienta sí encontró amenazas y las eliminó.

Los primeros dos escaneos no dieron resultado. Sin embargo, la última herramienta, KVRT encontró varias amenazas las cuales fueron eliminadas. Posteriormente reinicié mi equipo pero, nuevamente, el problema persiste…


#14

Dime, que antivirus tienes ahora mismo residiendo en tu computadora?


#15

ESET Security, actualmente


#16

Desinstala el ESET leyendo nuestro manual, y luego reinicias la PC si te lo pide, si no lo pide realizalo igual.

NOTA: Si tienes licencia, guárdalo o escribe lo en algun lugar para poder activarlo.


#17

Luego de esto que debo hacer?


#18

Comprueba si el Windows Defender aun sigue con este problema, solo es para descartar que no sea tu AV


#19

Sí, mismo problema, se sigue mostrando como en la primer imagen que adjunté…


#20

Fijate en Windows Update si no hay actualizaciones disponibles, si existen, descarga e instala cada una y reinicia la PC. Si esto no lo soluciona, intenta actualizar Windows desde el manual ofrecido por Microsoft