Trojan:JS/Mountsi.B!ml y problema de Windows Script Host
Resueltobazfile Mensajes publicados 58482 Fecha de registro Estado Moderador Última intervención -
Hola,
hoy al activar alguna funcionalidad de Windows Defender apareció una alerta Trojan:JS/Mountsi.B!ml
el elemento afectado es " amsi: C:\Users\dell\AppData\Roaming\stream.x64.x-all.dat " He intentado eliminar el troyano pero volvía con cada reinicio de Windows, instalé varios antivirus pero seguía sin ser detectado salvo por Windows Defender que lo detecta,
no sé si es por Avast pero después de instalarlo surgió un error tras reiniciar mi computadora, Windows Script Host imposible de encontrar el archivo "C:/users/dell/AppData/Roaming/stream.x64.x-all.dat"
FSRT : https://www.cjoint.com/c/LKyxTY01UwS
Adición : https://www.cjoint.com/c/LKyxUmBCVPS
Windows / Chrome 107.0.0.0
8 respuestas
Hola @hypnotique EstadoMiembro
Procedimiento a hacer en el orden indicado:
1- Abre FRST como administrador; para ello haz clic derecho en FRST y elige ejecutar como administrador
2- Copia la íntegra del script que se encuentra en el recuadro que sigue:
Start:: CreateRestorePoint: CloseProcesses: Startup: C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk [2021-11-29] ShortcutTarget: Envoyer à OneNote.lnk -> C:\Program Files\Microsoft Office\root\Office16\ONENOTEM.EXE (Archivo no encontrado) Startup: C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\stream.x64.x-all.dat.lnk [2022-11-24] ShortcutAndArgument: stream.x64.x-all.dat.lnk -> C:\Windows\system32\wscript.exe => /E:vbscript "C:\Users\dell\AppData\Roaming\stream.x64.x-all.dat.vbs" S3 eppvad_simple; \SystemRoot\system32\drivers\EMP_UDAU.sys [X] C:\Users\dell\AppData\Roaming\stream.x64.x-all.dat.vbs EmptyTemp: End:: 3- Una vez que hayas copiado el script, haz clic en Corregir; FRST toma automáticamente el script que está en el portapapeles.
Deja que la corrección se haga; una vez terminada se te pedirá reiniciar tu PC; hazlo cuando se te solicite, ver abajo.
Luego, una vez que tu ordenador haya reiniciado :
4- Tendrás un archivo Fixlog en tu escritorio; luego envía este informe fixlog a PJJOINT y proporciona el enlace generado por PJJOINT en tu respuesta.
5- VERIFICA Y DIME SI TU PROBLEMA SIGUE PRESENTE
6- Una vez finalizada la desinfección cambia tus contraseñas en línea; podrían haber sido robadas.
bazfile
Moderador/Contribuyente de seguridad.
un saludo, una respuesta, un gracias siempre alegran.
hola, hoy al reiniciar mi ordenador para hacer lo que me pedisteis no recibí la alerta de troyano,
en todo caso por ahora, después de haber introducido el código en FRST en modo administrador y tras reiniciar el ordenador, el error de Windows Script Host se fue. ¡gracias de nuevo!
Aquí está el fixlog https://pjjoint.malekal.com/files.php?id=20221125_r6g10h15x10f9
@hypnotique EstadoMiembro
El fixlog está OK.
Si de tu lado todo también está OK, puedes desinstalar FRST, cambia el nombre del archivo FRST que descargaste, cámbiale el nombre a uninstall, y una vez que el archivo esté renombrado ábrelo, la desinstalación se realizará automáticamente mediante un reinicio del PC, ver las capturas de pantalla abajo.
Para tu información.
Tu versión de Windows 10 no está actualizada; para verificarlo ve a Windows Update. La actualización a la versión 22H2 debe estar disponible; si no es así ve a esta página y haz clic en Actualizar ahora; eso iniciará la descarga de la herramienta de Microsoft, basta con abrirla y te permitirá actualizar Windows 10 a la última versión y te dirá si es compatible con tu PC; ten en cuenta que esta actualización puede tardar bastante.
justement je comprend pas des fois je redémarre le pc windows defender ne détecte rien, et d'autre si l'alerte apparais une fois sur 3 après un redémarrage.
pièce jointe :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20221125_e5y8d7k7e11
Addition : https://pjjoint.malekal.com/files.php?id=20221125_u15l14m11v12o14
No hay nada más, tu PC está limpio, eso proviene del historial de Windows Defender; la detección quedó ahí ya que no fue Windows Defender quien eliminó la infección.
Elimina el historial de Windows Defender y verás que ya no habrá nada.
Para tu información, tu PC aparentemente es compatible con Windows 11 ya que tu procesador i5-1145G7 es compatible; la actualización es gratuita y se ofrece en Windows Update.
Haz esta prueba https://www.commentcamarche.net/telecharger/utilitaires/23801-whynotwin11/ .
Pues no entiendo entonces, para el cifrado está activado, mi BitLocker está activado, pero dice que está interrumpido temporalmente. Reinicio mi ordenador, pero no se reanuda. ¿Crees que es por usar OneDrive que no está conectado?