Eliminar virus de Powershell.

Resuelto/Cerrado
Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   -  
bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   -

Hola a todos,

Mi sistema está actualmente infectado por el virus Powershell que no puedo eliminar definitivamente.

Estoy en Windows 11 con Nod32 Internet Security como antivirus, pero cada vez que apago / enciendo mi ordenador, en algún momento, Powershell se abre y aunque Nod32 me dice que lo elimina, vuelve una y otra vez y no sé qué hacer.

¿Pueden ayudarme?

Se los agradezco de antemano.

Atentamente,

Rudy

42 respuestas

  • 1
  • 2
  • 3
  1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Hola.

    Descarga FRST una vez descargado guárdalo en el escritorio luego haz clic derecho sobre FRST y elige Ejecutar como administrador tendrás esto:

    Haz clic en Analizar


    Atención, espera a que aparezcan los mensajes que dicen que el análisis ha terminado.

    Al final del análisis tendrás dos archivos de texto en el escritorio FRST y Addition.

    Luego envía los informes FRST y ADDITION a PJJOINT ver ESTE TUTORIAL y luego proporciona los dos enlaces generados por PJJOINT en tu respuesta.


    bazfile
    Moderador/Contribuyente en seguridad.
    un saludo, una respuesta, un gracias siempre son bien recibidos.

    1
  2. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
     

    El fixlog está OK, tus PCs están limpios.

    Para FRST puedes empezar por estudiar esto https://forum.security-x.fr/tutoriels-317/tutoriel-frst

    Puedes desinstalar FRST, mira mi mensaje 6.


    bazfile
    Moderador/Colaborador de seguridad.
    un saludo, una respuesta, un gracias siempre son bienvenidos.

    1
    1. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
       

      ¡Muchas gracias, voy a echarle un vistazo!

      0
      1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266 > Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención  
         

        Está bien.

        0
  3. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    Hola @bazfile EstadoModerador, Colaborador de seguridad, ya te he enviado los enlaces de los dos txts.

    ¡Te agradezco de todas formas por tu simpatía y tu rapidez!

    Creo que también tengo el virus en otros dos de mis ordenadores...

    Saludos,
    Rudy

    0
  4. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Una vez terminada la desinfección, cambia todas tus contraseñas en línea, ya que podrían haber sido robadas (correo electrónico, redes sociales, inicios de sesión de sitios bancarios, etcétera).

    Utilizas software pirata (Microsoft Office y/o Windows), te aconsejo que dejes de hacerlo, especialmente porque estás asumiendo muchos riesgos innecesarios, veesta página y esta página.

    Procedimiento a seguir en el orden indicado:

    1- Abre FRST como administrador, para ello haz clic derecho sobre FRST y selecciona ejecutar como administrador
    2 - Copia la totalidad del script que está en el recuadro siguiente:

      Start:: CreateRestorePoint: CloseProcesses: BHO: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll => No hay archivo BHO-x32: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll => No hay archivo Toolbar: HKLM - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll No hay archivo Toolbar: HKLM-x32 - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll No hay archivo FirewallRules: [{303638A2-AA4E-4319-9A33-62457D60F0BF}] => (Allow) C:\Users\Rudy TORDJEMAN\AppData\Roaming\Zoom\bin\airhost.exe => No hay archivo FirewallRules: [{0295BC9A-88F3-434D-9D8B-C8E0A6F1DF45}] => (Allow) C:\Users\Rudy TORDJEMAN\AppData\Roaming\Zoom\bin\airhost.exe => No hay archivo HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll HKLM\...\Run: [] => [X] HKLM\...\Run: [CL-25-F33D36F4-AAA6-4945-B37B-E911D136FF89] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-25-F33D36F4-AAA6-4945-B37B-E911D136FF89\setuplauncher.exe" /run:Installer.exe /args:"/setup-folder:"CL-25-F33D36F4-AAA6-4945-B37B-E911D13 (el elemento de datos tiene 7 caracteres más). (No hay archivo) Task: {02415FDA-83EE-4317-962F-1FE35A5D9485} - \Winrar -> No hay archivo Task: {6020405E-79E6-42CA-BE70-40EB40AE90D2} - System32\Tasks\EdgeCrashHandler => C:\Program Files (x86)\Microsoft\Edge\Application\mshandler.exe (No hay archivo) Task: {CC9E531F-81AA-4232-BAC5-2575045F85DC} - \Crash Handler -> No hay archivo Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (No hay archivo) Task: {D8D1B8F8-9501-4696-AFA7-3128519EA50A} - \Microsoft\Windows\Management\Provisioning\aBMYcDh\436ABF07-1656-4260-9E57-357415EA4FE8 -> No hay archivo Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (No hay archivo) S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X] HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restricción HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restricción Task: {368A2802-07E5-4B1B-B44D-E95121EF8C37} - System32\Tasks\Microsoft\Windows\Management\n1LDhtQmd => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\52DD.tmp\52DE.tmp.ps1" Task: {D4F3BFA3-9B90-4BDF-A499-8B9AB31E3D79} - System32\Tasks\Microsoft\Windows\DeviceDirectoryClient\RegisterDevicePeriodic24mztCvhYcb => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\7822.tmp\7823.tmp.ps1" Task: {EBBC415C-920F-4439-9230-E5450DC8712F} - System32\Tasks\Microsoft\Windows\Application Experience\StartupAppTasknbRcaSW => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\E060280D-9105-477C-9FB1-62C15838E78A.ps1" C:\WINDOWS\System32\52DD.tmp\52DE.tmp.ps1 C:\WINDOWS\System32\E060280D-9105-477C-9FB1-62C15838E78A.ps1 C:\WINDOWS\System32\7822.tmp\7823.tmp.ps1 EmptyTemp: End::

    3- Una vez copiado el script, haz clic en Corregir, FRST tomará automáticamente el script que está en el portapapeles.


    Deja que la corrección se realice, una vez que haya terminado se te pedirá que reinicies tu PC, hazlo tan pronto como te lo solicite, ver más abajo.

    Luego, una vez reiniciado tu ordenador:
    4- Tendrás un archivo Fixlog en tu escritorio, después envía este informe fixlog a PJJOINT y luego proporciona el enlace generado por PJJOINT en tu respuesta.

    5- VERIFICA Y DIME SI TU PROBLEMA SIGUE ESTANDO PRESENTE


    bazfile
    Moderador/Contribuidor de seguridad.
    un saludo, una respuesta, un agradecimiento siempre son bienvenidos.

    0
  5. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
     

    El fixlog está OK.


    Si de tu parte todo está igualmente OK, puedes desinstalar FRST, renombrar el archivo FRST que descargaste, cámbialo a uninstall, y una vez renombrado, ábrelo; la desinstalación se realizará automáticamente al reiniciar el pc.


    bazfile
    Moderador/Colaborador de seguridad.
    un hola, una respuesta, un gracias siempre son bienvenidos.

    0
  6. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    Te agradezco mil veces tu amabilidad, de hecho tienes razón, había instalado Office en una versión no oficial y no sabía que Cdiscount ofrecía licencias de Windows/Office a precios tan bajos.

    Por lo tanto, seguiré tus consejos y dejaré eso inmediatamente, el riesgo no vale la pena.

    ¿También aceptarías ayudarme a eliminar el virus en mis otros dos equipos?

    Te lo agradezco de verdad de antemano.

    Con cariño,

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      Sí, dame el informe del segundo PC, pasaremos al tercero después.

      Debo ausentarme, te volveré a contactar después de las 14:30.

      0
  7. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    ¡Eres genial, de verdad no sé cómo agradecerte!

    Ahora estoy en el trabajo, los otros dos PCs están en casa. Estaré allí a las 18 horas.

    Te haré eso amablemente a mi llegada, y te invito a tomarte todo tu tiempo para responderme si tienes otros proyectos / prioridades.

    Una vez más, ¡gracias por todo, Baz!

    Rudy

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      @+

      0
  8. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    Estimado @bazfile EstadoModerador, Colaborador de seguridad,

    Siguiendo nuestra conversación de esta mañana y agradeciéndote de nuevo por tu valiosa ayuda, encontrarás a continuación los enlaces de los archivos .Txt tras el análisis de mi segunda máquina.

    Tómate el tiempo que necesites, no hay prisa:

    FRST: https://pjjoint.malekal.com/files.php?id=FRST_20230113_n514m6u14e12

    Addition: https://pjjoint.malekal.com/files.php?id=20230113_t12k14g8n12s8

    Gracias de nuevo.
    Rudy

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      El informe de adición está bien, sin embargo, el informe FRST está incompleto, solo tiene el encabezado, hay que rehacerlo.

      0
  9. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    @bazfile EstadoModerador, Colaborador de seguridad ,

    Como se pidió, he realizado el análisis completo, aquí está el enlace del nuevo archivo :

    FRST: https://pjjoint.malekal.com/files.php?id=20230113_x13s12z14t7i12

    Saludos,

    Rudy

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      Me diste el informe adicional, es el informe FRST el que estaba incompleto, no el informe adicional.

      0
  10. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    Perdóname, no me di cuenta ... ¡La fatiga!

    Aquí tienes el enlace ADICIÓN: https://pjjoint.malekal.com/files.php?id=20230113_x13s12z14t7i12

    Espero tu respuesta,

    Rudy

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      Es el informe FRST que necesito, me has dado tres veces el informe adicional.

      0
  11. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     
    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      No hay infección además de la activación no oficial de Office, ¿quieres mantenerla o la elimino? Según tu respuesta, adaptaré mi script ya que hay algunas restricciones y procesos huérfanos en tu PC que deben corregirse.

      0
  12. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    ¡Qué bien, es una buena noticia! No hay Powershell, está genial. Sí, me gustaría mantener Office para ser lo más sincero posible contigo. Después, si eso supone un problema para tu script, puedo hacer un esfuerzo para facilitarte el trabajo, ya que todavía tengo un diagnóstico que pedirte sobre mi última máquina. Pero para este caso, si puedo mantener Office, es genial.

    Amistosamente,

    Rudy

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      Aquí está el script de corrección, lo haces como la última vez, no recuerdo el procedimiento, lo encontrarás en mi mensaje 4.

       Start:: CreateRestorePoint: CloseProcesses: Edge Extension: (Sin nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado(a)] Edge Extension: (Sin nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado(a)] Edge Extension: (Sin nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado(a)] Edge Extension: (Sin nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado(a)] HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restricción HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restricción HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restricción HKLM\...\Run: [] => [X] HKU\S-1-5-21-46554163-4094859263-1037165548-1001\...\Run: [Adobe Acrobat Synchronizer] => "C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exe" (Sin archivo) HKU\S-1-5-21-46554163-4094859263-1037165548-1001\...\Run: [vidnotifier.exe] => C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe (Sin archivo) ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (Sin archivo) Task: {532E3D71-2350-4465-932B-0E00CD7CA95F} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\officebackgroundtaskhandler.exe (Sin archivo) Task: {BBC49A52-1C14-4BF2-881B-05CBDD972812} - System32\Tasks\Microsoft\Windows\rempl\shell-usoscan => C:\Program Files\rempl\remsh.exe /RunUsoScanOnly (Sin archivo) Task: {FDB849A3-0141-4C07-B645-71331AA6F8ED} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files (x86)\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\officebackgroundtaskhandler.exe (Sin archivo) CustomCLSID: HKU\S-1-5-21-46554163-4094859263-1037165548-1001_Classes\CLSID\{520AA812-396B-40DE-8ED1-0EDC70630DBE}\localserver32 -> C:\Users\hackw\AppData\Local\Programs\3CXDesktopApp\app\3CXDesktopApp.exe => Sin archivo ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Sin archivo ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Sin archivo ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Sin archivo ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Sin archivo ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Sin archivo ContextMenuHandlers4: [Archivos Offline] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Sin archivo ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Sin archivo ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Sin archivo ContextMenuHandlers6: [Archivos Offline] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Sin archivo SearchScopes: HKU\S-1-5-21-46554163-4094859263-1037165548-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-46554163-4094859263-1037165548-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FirewallRules: [{0D262F22-A7BE-478E-BD0E-E3C0DDBE3EE8}] => (Permitir) C:\Users\hackw\AppData\Roaming\Zoom\bin\airhost.exe => Sin archivo FirewallRules: [{829F3D3E-8853-4655-B5A4-0EAEC4863257}] => (Permitir) C:\Program Files\Microsoft Office\Office16\UcMapi.exe => Sin archivo FirewallRules: [{E2373E94-7913-49C2-88EA-E3132662F138}] => (Permitir) C:\Program Files\Microsoft Office\Office16\UcMapi.exe => Sin archivo FirewallRules: [{0491DC63-840A-4641-8826-886DB8CD069E}] => (Permitir) C:\Program Files\Microsoft Office\Office16\lync.exe => Sin archivo FirewallRules: [{CFA95005-D0B1-4E10-9196-FFB6E4001354}] => (Permitir) C:\Program Files\Microsoft Office\Office16\lync.exe => Sin archivo FirewallRules: [Consulta TCP Usuario{A611EC03-D0E0-41DE-B4BF-C7B2A1E6A6B2}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Permitir) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo FirewallRules: [Consulta UDP Usuario{4FC74924-C5EC-40E6-B64E-E26C00FE4281}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Permitir) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo FirewallRules: [Consulta TCP Usuario{E16AE63B-2D94-481A-9178-854A1B893C39}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Bloquear) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo FirewallRules: [Consulta UDP Usuario{B3A02E80-3ECA-4256-A401-3DF7A39D6D18}C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe] => (Bloquear) C:\users\hackw\appdata\local\programs\3cxdesktopapp\app\3cxdesktopapp.exe => Sin archivo EmptyTemp: End::
      0
  13. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    Baz,

    Gracias, parece que todo va bien.

    A continuación el Fixlog :

    https://pjjoint.malekal.com/files.php?id=20230113_d11h15v11z14g14

    y para terminar (mi tercera máquina)

    Adición: https://pjjoint.malekal.com/files.php?id=20230113_d15x7z8x9s13

    FRST: https://pjjoint.malekal.com/files.php?id=FRST_20230113_m1312i11z13l8

    Mil gracias de nuevo, te lo manejas muy bien.

    Si ofreces formaciones, incluso de pago, estoy interesado.

    Rudy

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      Si ofreces formaciones, incluso de pago, estoy interesado.

      He hecho de forma voluntaria, pero he dejado de hacerlo porque estoy muy ocupado, si estás motivado hay formaciones gratuitas en Internet:

      https://helper-formation.fr/ formación abierta

      https://forum.security-x.fr/inscription-et-informations/information-sur-la-formation/ formación cerrada hay que esperar a que se liberen plazas.

      Para información.

      Tu versión de Windows 10 no está actualizada en el pc n°2 (1 año de retraso) y el pc n°3 (2 años de retraso), solo el pc n°1 estaba actualizado, para verificarlo ve a Windows Update la actualización a la versión 22H2 debería serte propuesta, si no es el caso ve a esta página haz clic en Actualizar ahora, esto iniciará la descarga de la herramienta de Microsoft, solo tienes que abrirla y te permitirá actualizar Windows 10 a la última versión y te dirá si es compatible con tu pc, atención esta actualización lleva un cierto tiempo.

      Para tu tercer pc no está infectado a pesar de los programas Adobe Acrobat y Microsoft Office no oficiales.

      A continuación el script que eliminará los obsoletos del pc n°3.

       Start:: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [] => [X] HKU\S-1-5-21-172983263-84869316-3819629878-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Sin archivo) Task: {2CC27808-8667-4D75-BE16-E9246DDEA5D6} - System32\Tasks\Update Checker => C:\Program Files (x86)\ASUS\ASUS Live Update\UpdateChecker.exe (Sin archivo) S3 MpKslcf158a97; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{030DAB8C-695D-4197-872C-9DF7E46C7789}\MpKslDrv.sys [X] FirewallRules: [TCP Query User{621830B6-0149-4178-86B3-5800BB0280A0}C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe => Sin archivo FirewallRules: [UDP Query User{AFE7448D-87EB-47F1-9A35-219D1CB9BB02}C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\users\appdata\roaming\utorrent\updates\utorrent.exe => Sin archivo EmptyTemp: End::
      0
      1. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1 > bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención  
         

        Querido Baz,

        Es todo un honor para ti y si además, ¡fue de forma voluntaria y con buena voluntad! Sinceramente, me habría gustado pasar por ti, pero no dudo en poder pedirte ayuda en el futuro si es necesario. Voy a consultar los enlaces que me has enviado, es cierto que, en general, me gustaría aprender a escribir scripts como tú pareces saber hacer para resolver diversos problemas.

        Para continuar, te adjunto el último archivo para que me tranquilices (Fixlog):

        https://pjjoint.malekal.com/files.php?id=20230113_c7b613g9i13

        De hecho, para las actualizaciones de Windows, he descargado el tool de actualización y parece que todo va bien.

        ¡Gracias de nuevo!

        1
  14. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    Hola Baz,

    Espero que estés bien desde ayer.

    Desafortunadamente, he podido hacer las actualizaciones de Windows en uno de los dos equipos.

    De hecho, uno de los dos, para continuar con la instalación, me informaba que no podía conservar mis archivos, carpetas, software, etc., así que lo dejé pasar.

    Lo que quería preguntarte es lo siguiente: según los scripts que has ingresado para ayudar a otras personas en mi situación, ¿es la eliminación del virus un ingreso caso por caso o lo que ingresas sobre lo que podría ser mi script, el del vecino, la vecina, etc. para eliminar el virus es lo mismo?

    Gracias y que tengas un buen día.

    0
    1. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
       

      No, es caso por caso, es una desinfección a medida, requiere un buen conocimiento de Windows, porque si te equivocas puedes colapsar el pc ya que FRST elimina todo lo que le pides que elimine, algunos aprendices de brujo quisieron probar sin tener los conocimientos necesarios y tuvieron problemas, esto no se aprende en 2 días, muchos técnicos informáticos no saben hacerlo, lo que no les impide cobrar unos cientos de euros por una pseudo desinfección que a menudo se reduce al uso de software de desinfección o, si los programas no funcionan o funcionan mal, a una reinstalación de Windows, además te habrás dado cuenta de la efectividad de Eset, que no fue capaz de eliminar la infección de tu primer PC, al respecto no veo realmente el interés de pagar por un antivirus en Windows 10 o Windows 11, en estas dos versiones de Windows un antivirus ya está integrado, es efectivo y suficiente en la mayoría de los casos, se activa automáticamente tan pronto como no hay otro antivirus instalado en el pc.

      Para pcs renuentes a la actualización, para tu información puedes intentar una reparación de Windows 10 sin pérdida de datos (todo se conserva), a pesar de lo que se indica en las pantallas, se trata de una reparación, no de una instalación de Windows.

      Descarga esta herramienta de Microsoft, abre la herramienta y haz lo que se indica a continuación:

      Es importante dejar marcado como en la foto.


      0
    2. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1 > bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención  
       

      Hola Baz,

      A pesar de tu recomendación, todavía no funciona, o pierdo todos los datos o nada en absoluto.

      No importa, me quedaré así, no te preocupes.

      Gracias de nuevo.

      Una última cosa, ¿puedo hacer que analices mi PC gamer?

      Gracias y que tengas un buen día.

      0
    3. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266 > Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención  
       

      Sí.

      0
    4. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1 > bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención  
       

      Hola Baz,

      Espero que estés bien.

      Aquí está para mi PC Gamer (gracias de nuevo).

      Adición: https://pjjoint.malekal.com/files.php?id=20230115_b6q10k9o9q13

      FRST: https://pjjoint.malekal.com/files.php?id=FRST_20230115_g13z14t1213y13

      Para este caso, y lo que puedo decirte de antemano, es que he "forzado" un poco la activación de Windows, y que efectivamente, tengo algunos juegos descargados (desde otro ordenador).


      Buen domingo para ti, y gracias de nuevo.

      0
    5. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266 > Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención  
       

      @+ en CCM. :)

      1
  15. Rudy_Paris Mensajes publicados 31 Fecha de registro   Estado Miembro Última intervención   1
     

    Hola Baz,

    espero que estés bien. Me ayudaste mucho en enero y te lo agradezco de nuevo.

    He notado que una de mis 4 máquinas en las que interactuaste sigue infectada por un virus tras la instalación de una versión no oficial de Adobe Acrobat, mucho antes de conocerte para solicitar tu ayuda con Powershell.

    El problema es que no puedo desinstalar esta versión de Adobe Acrobat, me aparece un mensaje: "Windows Installer" La característica que estás tratando de usar está en un recurso de red que no está disponible"

    Lo que seguramente deja acceso al pirateo para tomar el control de mi máquina, ya que Nod32 me lo indica.

    ¿Es posible pedirte de nuevo tu ayuda para desinstalar forzosamente esta versión no oficial de Adobe y eliminar definitivamente el virus que permite al hacker vivir su vida tranquilamente?

    Te agradezco una vez más por tu ayuda.

    0
  16. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Hola.

    Descarga FRST, una vez descargado guárdalo en el escritorio y luego haz clic derecho sobre FRST y elige Ejecutar como administrador, deberías ver esto:

    Espera a que aparezca el mensaje la herramienta está lista para funcionar y luego haz clic en Analizar


    Atención, espera a que aparezcan los mensajes que indican que el análisis ha terminado.

    Al final del análisis, tendrás dos archivos de texto en el escritorio FRST y Addition.

    Luego envía los informes FRST y ADDITION a https://security-x.fr/up/ y proporciona los dos enlaces generados por https://security-x.fr/up/ en tu respuesta.


    bazfile
    Moderador/Contribuidor de seguridad.
    un saludo, una respuesta, un gracias siempre son bienvenidos.

    0
  17. bazfile Mensajes publicados 58488 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Siempre está Microsoft Office que no es oficial.

    Te había advertido en mi mensaje 25 que Adobe no era oficial, no es de extrañar que tengas ese mensaje al desinstalarlo, el archivo hosts ha sido modificado para que las conexiones a los diferentes sitios de Adobe estén bloqueadas.

    Para restaurar el archivo hosts, procedimiento a seguir en el orden indicado:

    1- Abre FRST como administrador, para ello haz clic con el botón derecho del ratón sobre FRST y elige ejecutar como administrador
    2 - Copia íntegramente el script que está en el recuadro que sigue:

      Start:: CreateRestorePoint: CloseProcesses: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No hay archivo HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restricción HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restricción HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restricción ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (No hay archivo) Hosts: EmptyTemp: End::

    3- Una vez copiado el script, haz clic en Corregir, FRST tomará automáticamente el script que está en el portapapeles.


    Deja que la corrección se realice y una vez terminada te pedirá reiniciar tu pc, hazlo tan pronto como te lo indiquen, ver un poco más abajo.

    Luego, una vez que tu ordenador se reinicie:
    4- Tendrás un archivo Fixlog en tu escritorio, luego envía este informe fixlog a https://security-x.fr/up/ y proporciona el enlace generado por https://security-x.fr/up/ en tu respuesta.

    5- Desinstala Adobe Acrobat con Revo Uninstaller en modo escaneo avanzado.

    Tutorial de Revo Uninstaller para leer atentamente.

    Acepta la desinstalación del programa que deseas desinstalar y si aparece un mensaje de error diciendo que la desinstalación es imposible, cierra el mensaje de error y continúa con el procedimiento.

    Marca "Escaneo avanzado" y luego haz clic en "Escanear".

    Haz clic en "Seleccionar todo" y luego en "Eliminar". Si aparece una segunda lista, haz lo mismo y una vez que todo esté eliminado, haz clic en "Terminar", es posible que se requiera un reinicio.


    bazfile
    Moderador/Contribuidor de seguridad.
    un saludo, una respuesta, un agradecimiento siempre son bienvenidos.

    0
  • 1
  • 2
  • 3