Virus Mundial Relay
brichartier
Mensajes publicados
3
Estado
Miembro
-
Malekal_morte- Mensajes publicados 178136 Fecha de registro Estado Moderador, Colaborador de seguridad Última intervención -
Malekal_morte- Mensajes publicados 178136 Fecha de registro Estado Moderador, Colaborador de seguridad Última intervención -
Hola. Como muchos, caí en la trampa del correo electrónico de Mondial Relay y mi ordenador está contaminado con mensajes del tipo "windows script host". He seguido el procedimiento detallado en otras preguntas del foro de virus / seguridad y aquí están los enlaces adjuntos hacia FRST.txt y addition.txt.
https://pjjoint.malekal.com/files.php?id=20190619_s11j12f10b8n13
https://pjjoint.malekal.com/files.php?id=FRST_20190619_l5u7m5c13m14
Cabe destacar que después del escaneo no encontré el archivo shortcut.txt mencionado en el tutorial de FRST.
¿Alguien podría ayudarme a desinfectar mi PC por favor?
Muchas gracias de antemano.
/Brigitte
https://pjjoint.malekal.com/files.php?id=20190619_s11j12f10b8n13
https://pjjoint.malekal.com/files.php?id=FRST_20190619_l5u7m5c13m14
Cabe destacar que después del escaneo no encontré el archivo shortcut.txt mencionado en el tutorial de FRST.
¿Alguien podría ayudarme a desinfectar mi PC por favor?
Muchas gracias de antemano.
/Brigitte
8 respuestas
Hola,
Tienes programas que se instalaron al comprar el ordenador o que se instalaron después y que no son necesariamente útiles.
Entorpecen Windows y pueden hacerlo más lento.
Por lo tanto, puedes desinstalarlos.
Ve al Panel de control
luego a programas y características.
Desinstala:
CyberLink
McAfee Internet Security
McAfee Security Scan Plus
McAfee WebAdvisor
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Reinicia FRST y luego, en tu teclado, pulsa la tecla CTRL + Y.
El bloc de notas se abrirá, copia/pega esto.
Guarda el contenido desde el menú archivo y luego guarda.
Cierra el bloc de notas, vuelve a FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario y automático un reinicio.
Aparece un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
Para protegerte de infecciones removibles tipo Wscript (Windows Script Host)
Descargar e instalar Marmiton
Haz clic en Desactivar en el nivel de Windows Script Host.
Marmiton bloqueará los scripts maliciosos (VBS, VBE, JavaScript, etc.) que se utilizan para propagar ransomware como Locky.
Para limpiar los discos removibles de virus USB, sigue las etapas del tutorial en orden: inserta uno a uno tus llaves USB y discos duros externos que tienes para limpiarlos. Luego envía los informes a https://pjjoint.malekal.com/ y proporciona los enlaces a esos informes para que podamos consultarlos.
Conecta todas las llaves USB y otros dispositivos removibles.
[color=red]¡ATENCIÓN: NO INDICAR LA UNIDAD DE TU DISCO DURO![/color]
Abre este informe con el bloc de notas y copia/pega el contenido aquí en una próxima respuesta.
--
Por favor presiona una tecla para continuar con la desinfección...
Tienes programas que se instalaron al comprar el ordenador o que se instalaron después y que no son necesariamente útiles.
Entorpecen Windows y pueden hacerlo más lento.
Por lo tanto, puedes desinstalarlos.
Ve al Panel de control
luego a programas y características.
Desinstala:
CyberLink
McAfee Internet Security
McAfee Security Scan Plus
McAfee WebAdvisor
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Reinicia FRST y luego, en tu teclado, pulsa la tecla CTRL + Y.
El bloc de notas se abrirá, copia/pega esto.
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [VLUXCS~1] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\VLUXCS~1.VBS"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [LzGwUMTbPX] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [SystemDefenderSecurity.vbs] => "C:\Users\Brigitte\AppData\Roaming\SystemDefenderSecurity.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [Chrome.vbs] => C:\Users\Brigitte\AppData\Roaming\Chrome.vbs [50924 2019-01-19] () [Archivo no firmado]
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [vGDVRipzvW] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\vGDVRipzvW.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [HNtqeMmtGv] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\HNtqeMmtGv.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [SystemWindows.vbs] => "C:\Users\Brigitte\AppData\Roaming\SystemWindows.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [IgsjaQhbLo] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\IgsjaQhbLo.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [ZOYGXDURGF] => "C:\Users\Brigitte\AppData\Roaming\Colis-1.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [ynArAsTqWn] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\ynArAsTqWn.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [wYRgmxhEAs] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\wYRgmxhEAs.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [CKJPCK~1] => wscript.exe //B "C:\Users\Brigitte\AppData\Local\Temp\CKJPCK~1.VBS" <==== ATENCIÓN
Task: {09DE06F6-7D29-4662-B0F2-84451E02A5E2} - System32\Tasks\Skype => C:\Users\Brigitte\AppData\Roaming\Colis-1.vbs
2019-06-18 17:59 - 2019-06-19 08:51 - 000021924 _____ C:\Users\Brigitte\AppData\Roaming\UTJxTWUdie.vbs
2019-01-19 17:44 - 2019-01-19 17:44 - 000050924 _____ () C:\Users\Brigitte\AppData\Roaming\Chrome.vbs
2019-05-13 07:48 - 2019-05-13 07:48 - 000059505 _____ () C:\Users\Brigitte\AppData\Roaming\CKjPcKxmoA_123.vbs
2019-01-19 17:44 - 2019-06-18 17:59 - 000020564 _____ () C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs
2016-06-20 18:17 - 2017-01-24 01:49 - 000000112 _____ () C:\Users\Brigitte\AppData\Roaming\Préfs JP2K CS6
2019-06-18 17:59 - 2019-06-19 08:51 - 000021924 _____ () C:\Users\Brigitte\AppData\Roaming\UTJxTWUdie.vbs
2015-10-10 19:07 - 2015-10-10 19:07 - 225111747 _____ () C:\Users\Brigitte\AppData\Local\ACCCx3_3_0_151.zip.aamdownload
2015-10-10 19:07 - 2015-10-10 19:07 - 000002615 _____ () C:\Users\Brigitte\AppData\Local\ACCCx3_3_0_151.zip.aamdownload.aamd
2019-01-12 17:31 - 2019-01-12 17:31 - 000000000 _____ () C:\Users\Brigitte\AppData\Local\{8D64FA48-C0A7-4F1D-83CB-D9E271DA4E96}
2019-01-09 15:37 - 2019-01-09 15:37 - 000000000 _____ () C:\Users\Brigitte\AppData\Local\{D34BA859-D6D9-4857-A203-BF8828B61320}
EmptyTemp:
RemoveProxy:
Reboot:
End:
Guarda el contenido desde el menú archivo y luego guarda.
Cierra el bloc de notas, vuelve a FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario y automático un reinicio.
Aparece un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
Para protegerte de infecciones removibles tipo Wscript (Windows Script Host)
Descargar e instalar Marmiton
Haz clic en Desactivar en el nivel de Windows Script Host.
Marmiton bloqueará los scripts maliciosos (VBS, VBE, JavaScript, etc.) que se utilizan para propagar ransomware como Locky.
Para limpiar los discos removibles de virus USB, sigue las etapas del tutorial en orden: inserta uno a uno tus llaves USB y discos duros externos que tienes para limpiarlos. Luego envía los informes a https://pjjoint.malekal.com/ y proporciona los enlaces a esos informes para que podamos consultarlos.
Conecta todas las llaves USB y otros dispositivos removibles.
- Descarga Remediate VBS Worm
- Inicia la opción B
- Escribe la letra de la llave USB, por ejemplo, E y presiona enter
[color=red]¡ATENCIÓN: NO INDICAR LA UNIDAD DE TU DISCO DURO![/color]
- Ve a "Mi ordenador" luego disco "C", debe haber un informe "Rem-VBS.log" allí.
Abre este informe con el bloc de notas y copia/pega el contenido aquí en una próxima respuesta.
--
Por favor presiona una tecla para continuar con la desinfección...
Re-hola. He realizado la corrección con FRST y el archivo que me fue enviado.
El archivo fixlog está en pijoint
https://pjjoint.malekal.com/files.php?id=20190619_w13d7x8e6x10
El mensaje de Windows Script Host relativo a colis-1.vbs ha desaparecido, pero ahora me aparecen 2 otros que intentaré copiar en este mensaje
y
¿Debo reiniciar FRST y hacer un nuevo escaneo?
De todos modos, gracias una vez más por toda la ayuda que me estás brindando en esta dificultad.
/Brigitte
El archivo fixlog está en pijoint
https://pjjoint.malekal.com/files.php?id=20190619_w13d7x8e6x10
El mensaje de Windows Script Host relativo a colis-1.vbs ha desaparecido, pero ahora me aparecen 2 otros que intentaré copiar en este mensaje
y
¿Debo reiniciar FRST y hacer un nuevo escaneo?
De todos modos, gracias una vez más por toda la ayuda que me estás brindando en esta dificultad.
/Brigitte
Solo por si acaso, he reiniciado un escaneo FRST y aquí están los 3 archivos de registro
https://pjjoint.malekal.com/files.php?id=20190619_e14l5z11h12b15
https://pjjoint.malekal.com/files.php?id=FRST_20190619_i6h5k10k9s7
https://pjjoint.malekal.com/files.php?id=20190619_f12x5z13v9b14
Gracias de antemano
/Brigitte
https://pjjoint.malekal.com/files.php?id=20190619_e14l5z11h12b15
https://pjjoint.malekal.com/files.php?id=FRST_20190619_i6h5k10k9s7
https://pjjoint.malekal.com/files.php?id=20190619_f12x5z13v9b14
Gracias de antemano
/Brigitte
Aquí tienes la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Reinicia FRST y luego en tu teclado presiona la tecla CTRL + Y.
Se abrirá el bloc de notas, copia/pega esto.
Guarda el contenido desde el menú archivo y luego guardar.
Cierra el bloc de notas, vuelve a FRST y haz clic en el botón "Corregir / Fix"
Puede ser necesario un reinicio y será automático.
Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
--
Por favor presiona una tecla para continuar con la desinfección...
Reinicia FRST y luego en tu teclado presiona la tecla CTRL + Y.
Se abrirá el bloc de notas, copia/pega esto.
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [LzGwUMTbPX] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs"
Task: {FECB20F2-458C-4D3A-8FB8-9533589AF212} - System32\Tasks\NYANP => C:\Users\Brigitte\AppData\Local\Temp\6525complet.exe <==== ATENCIÓN
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.vbs [2019-01-19] () [Archivo no firmado]
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CKJPCK~1.VBS [2019-05-13] () [Archivo no firmado]
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LzGwUMTbPX.vbs [2019-05-19] () [Archivo no firmado]
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zKxATsKgIW.vbs [2018-11-03] () [Archivo no firmado]
EmptyTemp:
RemoveProxy:
Reboot:
End:
Guarda el contenido desde el menú archivo y luego guardar.
Cierra el bloc de notas, vuelve a FRST y haz clic en el botón "Corregir / Fix"
Puede ser necesario un reinicio y será automático.
Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
--
Por favor presiona una tecla para continuar con la desinfección...
Gracias por su respuesta y el segundo correctivo.
Después de este segundo correctivo, todavía hay algo que no cuadra porque el primer mensaje de error mencionado en mi respuesta anterior ha desaparecido, pero el segundo (relativo a meee.vbs) sigue ahí... He subido el archivo fixlog en pijoint
https://pjjoint.malekal.com/files.php?id=20190619_q8i12l15z14s10
Por si acaso, he reiniciado un escaneo FRST y he subido los 3 archivos log en pijoint.
https://pjjoint.malekal.com/files.php?id=20190619_v15b7k5c9u13
https://pjjoint.malekal.com/files.php?id=FRST_20190619_q109k10i14e6
https://pjjoint.malekal.com/files.php?id=20190619_f8f14n15v7j13
Debo admitir que me siento algo impotente para resolver esto, así que si todavía tiene un poco de tiempo para ayudarme, lo agradecería mucho.
De antemano, muchas gracias de todo corazón.
/Brigitte
Después de este segundo correctivo, todavía hay algo que no cuadra porque el primer mensaje de error mencionado en mi respuesta anterior ha desaparecido, pero el segundo (relativo a meee.vbs) sigue ahí... He subido el archivo fixlog en pijoint
https://pjjoint.malekal.com/files.php?id=20190619_q8i12l15z14s10
Por si acaso, he reiniciado un escaneo FRST y he subido los 3 archivos log en pijoint.
https://pjjoint.malekal.com/files.php?id=20190619_v15b7k5c9u13
https://pjjoint.malekal.com/files.php?id=FRST_20190619_q109k10i14e6
https://pjjoint.malekal.com/files.php?id=20190619_f8f14n15v7j13
Debo admitir que me siento algo impotente para resolver esto, así que si todavía tiene un poco de tiempo para ayudarme, lo agradecería mucho.
De antemano, muchas gracias de todo corazón.
/Brigitte
Ya está ejecutándose wscript.exe
así que no hiciste la manipulación con Marmiton.
McAfee sigue instalado.
Desactiva Windows Script Hosting con Marmiton
vuelve a hacer un escaneo con FRST y proporciona nuevamente los informes.
--
Por favor, presiona una tecla para continuar con la desinfección...
así que no hiciste la manipulación con Marmiton.
McAfee sigue instalado.
Desactiva Windows Script Hosting con Marmiton
vuelve a hacer un escaneo con FRST y proporciona nuevamente los informes.
--
Por favor, presiona una tecla para continuar con la desinfección...
Hola. Efectivamente, había olvidado la configuración de marmiton. Ya lo he hecho y el mensaje sobre meee.vbs ha desaparecido, reemplazado por un mensaje que dice que el Windows Script Host está desactivado en esta máquina. Aquí están los archivos de registro del último escaneo de FRST:
https://pjjoint.malekal.com/files.php?id=20190621_m15c13v14w6r6
https://pjjoint.malekal.com/files.php?id=FRST_20190621_q8u14x11f14x5
https://pjjoint.malekal.com/files.php?id=20190621_r5l12g14o5d15
Desactivé MacAfee para hacer el escaneo, pero dudo en desinstalarlo, no solo porque pago una suscripción, sino también porque eso me dejaría sin antivirus. ¿Qué opinas?
Una vez más, gracias por toda la ayuda que me has brindado.
Atentamente
/Brigitte
https://pjjoint.malekal.com/files.php?id=20190621_m15c13v14w6r6
https://pjjoint.malekal.com/files.php?id=FRST_20190621_q8u14x11f14x5
https://pjjoint.malekal.com/files.php?id=20190621_r5l12g14o5d15
Desactivé MacAfee para hacer el escaneo, pero dudo en desinstalarlo, no solo porque pago una suscripción, sino también porque eso me dejaría sin antivirus. ¿Qué opinas?
Una vez más, gracias por toda la ayuda que me has brindado.
Atentamente
/Brigitte
No deberías renovar McAfee, no es muy bueno.
Además, ahora no te ha servido de nada.
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Reinicia FRST y luego presiona la tecla CTRL + Y en tu teclado.
Se abrirá el bloc de notas, copia/pega esto.
Guarda el contenido desde el menú archivo y luego guardar.
Cierra el bloc de notas, vuelve a FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario y automático un reinicio.
Aparece un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia la computadora.
Además, ahora no te ha servido de nada.
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Reinicia FRST y luego presiona la tecla CTRL + Y en tu teclado.
Se abrirá el bloc de notas, copia/pega esto.
Start:
CloseProcesses:
CreateRestorePoint:
C:\ProgramData\FirefoxUpdate.exe
Task: {996A0C74-1EA8-494F-B989-A4C78A5C83EC} - System32\Tasks\Skypee => C:\Users\Brigitte\AppData\Local\Temp\meee.vbs <==== ATENCIÓN
Task: {B0E49032-7F34-4E66-8510-82CBDDF406D5} - System32\Tasks\NYAN => C:\ProgramData\FirefoxUpdate.exe <==== ATENCIÓN
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [Chrome.vbs] => C:\Users\Brigitte\AppData\Roaming\Chrome.vbs [0 2019-06-20] ()
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [LzGwUMTbPX] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs"
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.vbs [2019-06-20] ()
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LzGwUMTbPX.vbs [2019-06-19] () [Archivo no firmado]
EmptyTemp:
RemoveProxy:
Reboot:
End:
Guarda el contenido desde el menú archivo y luego guardar.
Cierra el bloc de notas, vuelve a FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario y automático un reinicio.
Aparece un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia la computadora.