Eliminar virus de Powershell.
Resuelto/Cerradobazfile Mensajes publicados 58488 Fecha de registro Estado Moderador Última intervención -
Hola a todos,
Mi sistema está actualmente infectado por el virus Powershell que no puedo eliminar definitivamente.
Estoy en Windows 11 con Nod32 Internet Security como antivirus, pero cada vez que apago / enciendo mi ordenador, en algún momento, Powershell se abre y aunque Nod32 me dice que lo elimina, vuelve una y otra vez y no sé qué hacer.
¿Pueden ayudarme?
Se los agradezco de antemano.
Atentamente,
Rudy
42 respuestas
- 1
- 2
- 3
-
Hola.
Descarga FRST una vez descargado guárdalo en el escritorio luego haz clic derecho sobre FRST y elige Ejecutar como administrador tendrás esto:
Haz clic en Analizar
Atención, espera a que aparezcan los mensajes que dicen que el análisis ha terminado.

Al final del análisis tendrás dos archivos de texto en el escritorio FRST y Addition.

Luego envía los informes FRST y ADDITION a PJJOINT ver ESTE TUTORIAL y luego proporciona los dos enlaces generados por PJJOINT en tu respuesta.
bazfile
Moderador/Contribuyente en seguridad.
un saludo, una respuesta, un gracias siempre son bien recibidos. -
El fixlog está OK, tus PCs están limpios.
Para FRST puedes empezar por estudiar esto https://forum.security-x.fr/tutoriels-317/tutoriel-frst
Puedes desinstalar FRST, mira mi mensaje 6.
bazfile
Moderador/Colaborador de seguridad.
un saludo, una respuesta, un gracias siempre son bienvenidos. -
@bazfile EstadoModerador, Colaborador de seguridad :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20230113_q12p15m5s10m6
Addition : https://pjjoint.malekal.com/files.php?id=20230113_i12w11e13q10w15
¡Gracias por tu ayuda!
-
Hola @bazfile EstadoModerador, Colaborador de seguridad, ya te he enviado los enlaces de los dos txts.
¡Te agradezco de todas formas por tu simpatía y tu rapidez!
Creo que también tengo el virus en otros dos de mis ordenadores...
Saludos,
Rudy -
Una vez terminada la desinfección, cambia todas tus contraseñas en línea, ya que podrían haber sido robadas (correo electrónico, redes sociales, inicios de sesión de sitios bancarios, etcétera).
Utilizas software pirata (Microsoft Office y/o Windows), te aconsejo que dejes de hacerlo, especialmente porque estás asumiendo muchos riesgos innecesarios, veesta página y esta página.
Procedimiento a seguir en el orden indicado:
1- Abre FRST como administrador, para ello haz clic derecho sobre FRST y selecciona ejecutar como administrador
2 - Copia la totalidad del script que está en el recuadro siguiente:Start:: CreateRestorePoint: CloseProcesses: BHO: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll => No hay archivo BHO-x32: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll => No hay archivo Toolbar: HKLM - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll No hay archivo Toolbar: HKLM-x32 - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll No hay archivo FirewallRules: [{303638A2-AA4E-4319-9A33-62457D60F0BF}] => (Allow) C:\Users\Rudy TORDJEMAN\AppData\Roaming\Zoom\bin\airhost.exe => No hay archivo FirewallRules: [{0295BC9A-88F3-434D-9D8B-C8E0A6F1DF45}] => (Allow) C:\Users\Rudy TORDJEMAN\AppData\Roaming\Zoom\bin\airhost.exe => No hay archivo HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll HKLM\...\Run: [] => [X] HKLM\...\Run: [CL-25-F33D36F4-AAA6-4945-B37B-E911D136FF89] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-25-F33D36F4-AAA6-4945-B37B-E911D136FF89\setuplauncher.exe" /run:Installer.exe /args:"/setup-folder:"CL-25-F33D36F4-AAA6-4945-B37B-E911D13 (el elemento de datos tiene 7 caracteres más). (No hay archivo) Task: {02415FDA-83EE-4317-962F-1FE35A5D9485} - \Winrar -> No hay archivo Task: {6020405E-79E6-42CA-BE70-40EB40AE90D2} - System32\Tasks\EdgeCrashHandler => C:\Program Files (x86)\Microsoft\Edge\Application\mshandler.exe (No hay archivo) Task: {CC9E531F-81AA-4232-BAC5-2575045F85DC} - \Crash Handler -> No hay archivo Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (No hay archivo) Task: {D8D1B8F8-9501-4696-AFA7-3128519EA50A} - \Microsoft\Windows\Management\Provisioning\aBMYcDh\436ABF07-1656-4260-9E57-357415EA4FE8 -> No hay archivo Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (No hay archivo) S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X] HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restricción HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restricción Task: {368A2802-07E5-4B1B-B44D-E95121EF8C37} - System32\Tasks\Microsoft\Windows\Management\n1LDhtQmd => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\52DD.tmp\52DE.tmp.ps1" Task: {D4F3BFA3-9B90-4BDF-A499-8B9AB31E3D79} - System32\Tasks\Microsoft\Windows\DeviceDirectoryClient\RegisterDevicePeriodic24mztCvhYcb => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\7822.tmp\7823.tmp.ps1" Task: {EBBC415C-920F-4439-9230-E5450DC8712F} - System32\Tasks\Microsoft\Windows\Application Experience\StartupAppTasknbRcaSW => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\E060280D-9105-477C-9FB1-62C15838E78A.ps1" C:\WINDOWS\System32\52DD.tmp\52DE.tmp.ps1 C:\WINDOWS\System32\E060280D-9105-477C-9FB1-62C15838E78A.ps1 C:\WINDOWS\System32\7822.tmp\7823.tmp.ps1 EmptyTemp: End::3- Una vez copiado el script, haz clic en Corregir, FRST tomará automáticamente el script que está en el portapapeles.
Deja que la corrección se realice, una vez que haya terminado se te pedirá que reinicies tu PC, hazlo tan pronto como te lo solicite, ver más abajo.Luego, una vez reiniciado tu ordenador:
4- Tendrás un archivo Fixlog en tu escritorio, después envía este informe fixlog a PJJOINT y luego proporciona el enlace generado por PJJOINT en tu respuesta.5- VERIFICA Y DIME SI TU PROBLEMA SIGUE ESTANDO PRESENTE
bazfile
Moderador/Contribuidor de seguridad.
un saludo, una respuesta, un agradecimiento siempre son bienvenidos. -
@bazfile EstadoModerador, Colaborador de seguridad Te agradezco sinceramente.
Aquí está el enlace del fixlog: https://pjjoint.malekal.com/files.php?id=20230113_h125t6d12p11
Saludos,
Rudy
-
El fixlog está OK.
Si de tu parte todo está igualmente OK, puedes desinstalar FRST, renombrar el archivo FRST que descargaste, cámbialo a uninstall, y una vez renombrado, ábrelo; la desinstalación se realizará automáticamente al reiniciar el pc.
bazfile
Moderador/Colaborador de seguridad.
un hola, una respuesta, un gracias siempre son bienvenidos. -
Te agradezco mil veces tu amabilidad, de hecho tienes razón, había instalado Office en una versión no oficial y no sabía que Cdiscount ofrecía licencias de Windows/Office a precios tan bajos.
Por lo tanto, seguiré tus consejos y dejaré eso inmediatamente, el riesgo no vale la pena.
¿También aceptarías ayudarme a eliminar el virus en mis otros dos equipos?
Te lo agradezco de verdad de antemano.
Con cariño, -
¡Eres genial, de verdad no sé cómo agradecerte!
Ahora estoy en el trabajo, los otros dos PCs están en casa. Estaré allí a las 18 horas.
Te haré eso amablemente a mi llegada, y te invito a tomarte todo tu tiempo para responderme si tienes otros proyectos / prioridades.
Una vez más, ¡gracias por todo, Baz!
Rudy
-
Estimado @bazfile EstadoModerador, Colaborador de seguridad,
Siguiendo nuestra conversación de esta mañana y agradeciéndote de nuevo por tu valiosa ayuda, encontrarás a continuación los enlaces de los archivos .Txt tras el análisis de mi segunda máquina.
Tómate el tiempo que necesites, no hay prisa:
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20230113_n514m6u14e12
Addition: https://pjjoint.malekal.com/files.php?id=20230113_t12k14g8n12s8
Gracias de nuevo.
Rudy -
@bazfile EstadoModerador, Colaborador de seguridad ,
Como se pidió, he realizado el análisis completo, aquí está el enlace del nuevo archivo :
FRST: https://pjjoint.malekal.com/files.php?id=20230113_x13s12z14t7i12
Saludos,
Rudy
-
Perdóname, no me di cuenta ... ¡La fatiga!
Aquí tienes el enlace ADICIÓN: https://pjjoint.malekal.com/files.php?id=20230113_x13s12z14t7i12
Espero tu respuesta,
Rudy
-
¡Perdóname una vez más!
Aquí está: https://pjjoint.malekal.com/files.php?id=FRST_20230113_w9q10p14s10c15
-
¡Qué bien, es una buena noticia! No hay Powershell, está genial. Sí, me gustaría mantener Office para ser lo más sincero posible contigo. Después, si eso supone un problema para tu script, puedo hacer un esfuerzo para facilitarte el trabajo, ya que todavía tengo un diagnóstico que pedirte sobre mi última máquina. Pero para este caso, si puedo mantener Office, es genial.
Amistosamente,
Rudy
-
Aquí está el script de corrección, lo haces como la última vez, no recuerdo el procedimiento, lo encontrarás en mi mensaje 4.
Start:: CreateRestorePoint: CloseProcesses: Edge Extension: (Sin nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado(a)] Edge Extension: (Sin nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado(a)] Edge Extension: (Sin nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado(a)] Edge Extension: (Sin nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado(a)] HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restricción HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restricción HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restricción HKLM\...\Run: [] => [X] HKU\S-1-5-21-46554163-4094859263-1037165548-1001\...\Run: [Adobe Acrobat Synchronizer] => "C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exe" (Sin archivo) HKU\S-1-5-21-46554163-4094859263-1037165548-1001\...\Run: [vidnotifier.exe] => C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe (Sin archivo) ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (Sin archivo) Task: {532E3D71-2350-4465-932B-0E00CD7CA95F} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\officebackgroundtaskhandler.exe (Sin archivo) Task: {BBC49A52-1C14-4BF2-881B-05CBDD972812} - System32\Tasks\Microsoft\Windows\rempl\shell-usoscan => C:\Program Files\rempl\remsh.exe /RunUsoScanOnly (Sin archivo) Task: {FDB849A3-0141-4C07-B645-71331AA6F8ED} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\officebackgroundtaskhandler.exe (Sin archivo) CustomCLSID: HKU\S-1-5-21-46554163-4094859263-1037165548-1001_Classes\CLSID\{520AA812-396B-40DE-8ED1-0EDC70630DBE}\localserver32 -> C:\Users\hackw\AppData\Local\Programs\3CXDesktopApp\app\3CXDesktopApp.exe => Sin archivo ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Sin archivo ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Sin archivo ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Sin archivo ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Sin archivo ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Sin archivo ContextMenuHandlers4: [Archivos Offline] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Sin archivo ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Sin archivo ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Sin archivo ContextMenuHandlers6: [Archivos Offline] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Sin archivo SearchScopes: HKU\S-1-5-21-46554163-4094859263-1037165548-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-46554163-4094859263-1037165548-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FirewallRules: [{0D262F22-A7BE-478E-BD0E-E3C0DDBE3EE8}] => (Permitir) C:\Users\hackw\AppData\Roaming\Zoom\bin\airhost.exe => Sin archivo FirewallRules: [{829F3D3E-8853-4655-B5A4-0EAEC4863257}] => (Permitir) C:\Program Files\Microsoft Office\Office16\UcMapi.exe => Sin archivo FirewallRules: [{E2373E94-7913-49C2-88EA-E3132662F138}] => (Permitir) C:\Program Files\Microsoft Office\Office16\UcMapi.exe => Sin archivo FirewallRules: [{0491DC63-840A-4641-8826-886DB8CD069E}] => (Permitir) C:\Program Files\Microsoft Office\Office16\lync.exe => Sin archivo FirewallRules: [{CFA95005-D0B1-4E10-9196-FFB6E4001354}] => (Permitir) C:\Program Files\Microsoft Office\Office16\lync.exe => Sin archivo FirewallRules: [Consulta TCP Usuario{A611EC03-D0E0-41DE-B4BF-C7B2A1E6A6B2}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Permitir) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo FirewallRules: [Consulta UDP Usuario{4FC74924-C5EC-40E6-B64E-E26C00FE4281}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Permitir) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo FirewallRules: [Consulta TCP Usuario{E16AE63B-2D94-481A-9178-854A1B893C39}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Bloquear) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo FirewallRules: [Consulta UDP Usuario{B3A02E80-3ECA-4256-A401-3DF7A39D6D18}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Bloquear) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo EmptyTemp: End::
-
-
Baz,
Gracias, parece que todo va bien.
A continuación el Fixlog :
https://pjjoint.malekal.com/files.php?id=20230113_d11h15v11z14g14
y para terminar (mi tercera máquina)
Adición: https://pjjoint.malekal.com/files.php?id=20230113_d15x7z8x9s13
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20230113_m1312i11z13l8
Mil gracias de nuevo, te lo manejas muy bien.
Si ofreces formaciones, incluso de pago, estoy interesado.
Rudy
-
Si ofreces formaciones, incluso de pago, estoy interesado.
He hecho de forma voluntaria, pero he dejado de hacerlo porque estoy muy ocupado, si estás motivado hay formaciones gratuitas en Internet:
https://helper-formation.fr/ formación abierta
https://forum.security-x.fr/inscription-et-informations/information-sur-la-formation/ formación cerrada hay que esperar a que se liberen plazas.
Para información.
Tu versión de Windows 10 no está actualizada en el pc n°2 (1 año de retraso) y el pc n°3 (2 años de retraso), solo el pc n°1 estaba actualizado, para verificarlo ve a Windows Update la actualización a la versión 22H2 debería serte propuesta, si no es el caso ve a esta página haz clic en Actualizar ahora, esto iniciará la descarga de la herramienta de Microsoft, solo tienes que abrirla y te permitirá actualizar Windows 10 a la última versión y te dirá si es compatible con tu pc, atención esta actualización lleva un cierto tiempo.
Para tu tercer pc no está infectado a pesar de los programas Adobe Acrobat y Microsoft Office no oficiales.A continuación el script que eliminará los obsoletos del pc n°3.
Start:: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [] => [X] HKU\S-1-5-21-172983263-84869316-3819629878-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Sin archivo) Task: {2CC27808-8667-4D75-BE16-E9246DDEA5D6} - System32\Tasks\Update Checker => C:\Program Files (x86)\ASUS\ASUS Live Update\UpdateChecker.exe (Sin archivo) S3 MpKslcf158a97; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{030DAB8C-695D-4197-872C-9DF7E46C7789}\MpKslDrv.sys [X] FirewallRules: [TCP Query User{621830B6-0149-4178-86B3-5800BB0280A0}C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe => Sin archivo FirewallRules: [UDP Query User{AFE7448D-87EB-47F1-9A35-219D1CB9BB02}C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe => Sin archivo EmptyTemp: End::Querido Baz,
Es todo un honor para ti y si además, ¡fue de forma voluntaria y con buena voluntad! Sinceramente, me habría gustado pasar por ti, pero no dudo en poder pedirte ayuda en el futuro si es necesario. Voy a consultar los enlaces que me has enviado, es cierto que, en general, me gustaría aprender a escribir scripts como tú pareces saber hacer para resolver diversos problemas.
Para continuar, te adjunto el último archivo para que me tranquilices (Fixlog):
https://pjjoint.malekal.com/files.php?id=20230113_c7b613g9i13
De hecho, para las actualizaciones de Windows, he descargado el tool de actualización y parece que todo va bien.
¡Gracias de nuevo!
-
-
Hola Baz,
Espero que estés bien desde ayer.
Desafortunadamente, he podido hacer las actualizaciones de Windows en uno de los dos equipos.
De hecho, uno de los dos, para continuar con la instalación, me informaba que no podía conservar mis archivos, carpetas, software, etc., así que lo dejé pasar.
Lo que quería preguntarte es lo siguiente: según los scripts que has ingresado para ayudar a otras personas en mi situación, ¿es la eliminación del virus un ingreso caso por caso o lo que ingresas sobre lo que podría ser mi script, el del vecino, la vecina, etc. para eliminar el virus es lo mismo?
Gracias y que tengas un buen día.
-
No, es caso por caso, es una desinfección a medida, requiere un buen conocimiento de Windows, porque si te equivocas puedes colapsar el pc ya que FRST elimina todo lo que le pides que elimine, algunos aprendices de brujo quisieron probar sin tener los conocimientos necesarios y tuvieron problemas, esto no se aprende en 2 días, muchos técnicos informáticos no saben hacerlo, lo que no les impide cobrar unos cientos de euros por una pseudo desinfección que a menudo se reduce al uso de software de desinfección o, si los programas no funcionan o funcionan mal, a una reinstalación de Windows, además te habrás dado cuenta de la efectividad de Eset, que no fue capaz de eliminar la infección de tu primer PC, al respecto no veo realmente el interés de pagar por un antivirus en Windows 10 o Windows 11, en estas dos versiones de Windows un antivirus ya está integrado, es efectivo y suficiente en la mayoría de los casos, se activa automáticamente tan pronto como no hay otro antivirus instalado en el pc.
Para pcs renuentes a la actualización, para tu información puedes intentar una reparación de Windows 10 sin pérdida de datos (todo se conserva), a pesar de lo que se indica en las pantallas, se trata de una reparación, no de una instalación de Windows.
Descarga esta herramienta de Microsoft, abre la herramienta y haz lo que se indica a continuación:
Es importante dejar marcado como en la foto.
-
-
-
Hola Baz,
Espero que estés bien.
Aquí está para mi PC Gamer (gracias de nuevo).
Adición: https://pjjoint.malekal.com/files.php?id=20230115_b6q10k9o9q13
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20230115_g13z14t1213y13
Para este caso, y lo que puedo decirte de antemano, es que he "forzado" un poco la activación de Windows, y que efectivamente, tengo algunos juegos descargados (desde otro ordenador).
Buen domingo para ti, y gracias de nuevo. -
-
-
Hola Baz,
espero que estés bien. Me ayudaste mucho en enero y te lo agradezco de nuevo.
He notado que una de mis 4 máquinas en las que interactuaste sigue infectada por un virus tras la instalación de una versión no oficial de Adobe Acrobat, mucho antes de conocerte para solicitar tu ayuda con Powershell.
El problema es que no puedo desinstalar esta versión de Adobe Acrobat, me aparece un mensaje: "Windows Installer" La característica que estás tratando de usar está en un recurso de red que no está disponible"
Lo que seguramente deja acceso al pirateo para tomar el control de mi máquina, ya que Nod32 me lo indica.
¿Es posible pedirte de nuevo tu ayuda para desinstalar forzosamente esta versión no oficial de Adobe y eliminar definitivamente el virus que permite al hacker vivir su vida tranquilamente?
Te agradezco una vez más por tu ayuda. -
Hola.
Descarga FRST, una vez descargado guárdalo en el escritorio y luego haz clic derecho sobre FRST y elige Ejecutar como administrador, deberías ver esto:
Espera a que aparezca el mensaje la herramienta está lista para funcionar y luego haz clic en Analizar
Atención, espera a que aparezcan los mensajes que indican que el análisis ha terminado.
Al final del análisis, tendrás dos archivos de texto en el escritorio FRST y Addition.

Luego envía los informes FRST y ADDITION a https://security-x.fr/up/ y proporciona los dos enlaces generados por https://security-x.fr/up/ en tu respuesta.
bazfile
Moderador/Contribuidor de seguridad.
un saludo, una respuesta, un gracias siempre son bienvenidos. -
Hola @bazfile EstadoModerador, Colaborador de seguridad
FRST : https://up.security-x.fr/file.php?h=Rc133e265eed613cd423c3164e46c8bf4
ADICIÓN : https://up.security-x.fr/file.php?h=Rfdc5cc7d9362bb6081c24f022329889e
Gracias a ti.
-
Siempre está Microsoft Office que no es oficial.
Te había advertido en mi mensaje 25 que Adobe no era oficial, no es de extrañar que tengas ese mensaje al desinstalarlo, el archivo hosts ha sido modificado para que las conexiones a los diferentes sitios de Adobe estén bloqueadas.
Para restaurar el archivo hosts, procedimiento a seguir en el orden indicado:
1- Abre FRST como administrador, para ello haz clic con el botón derecho del ratón sobre FRST y elige ejecutar como administrador
2 - Copia íntegramente el script que está en el recuadro que sigue:Start:: CreateRestorePoint: CloseProcesses: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No hay archivo HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restricción HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restricción HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restricción ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (No hay archivo) Hosts: EmptyTemp: End::3- Una vez copiado el script, haz clic en Corregir, FRST tomará automáticamente el script que está en el portapapeles.
Deja que la corrección se realice y una vez terminada te pedirá reiniciar tu pc, hazlo tan pronto como te lo indiquen, ver un poco más abajo.Luego, una vez que tu ordenador se reinicie:
4- Tendrás un archivo Fixlog en tu escritorio, luego envía este informe fixlog a https://security-x.fr/up/ y proporciona el enlace generado por https://security-x.fr/up/ en tu respuesta.5- Desinstala Adobe Acrobat con Revo Uninstaller en modo escaneo avanzado.
Tutorial de Revo Uninstaller para leer atentamente.
Acepta la desinstalación del programa que deseas desinstalar y si aparece un mensaje de error diciendo que la desinstalación es imposible, cierra el mensaje de error y continúa con el procedimiento.
Marca "Escaneo avanzado" y luego haz clic en "Escanear".
Haz clic en "Seleccionar todo" y luego en "Eliminar". Si aparece una segunda lista, haz lo mismo y una vez que todo esté eliminado, haz clic en "Terminar", es posible que se requiera un reinicio.
bazfile
Moderador/Contribuidor de seguridad.
un saludo, una respuesta, un agradecimiento siempre son bienvenidos.
- 1
- 2
- 3

















