Virus PowerShell: ¿cómo deshacerme de él?
ResueltoMisteryBean Mensajes publicados 8948 Fecha de registro Estado Moderador Última intervención -
Hola,
Tengo el mismo problema que Belze y varias personas: una ventana emergente se abre inesperadamente, repetidamente, a veces en múltiples ejemplares al mismo tiempo, que dura(n) menos de dos segundos al abrirse o durante el uso de mi computadora.
Está escrito: C:\Windows\System32\WindowsPowerShell\v1.0/powershell.exe en el encabezado de una ventana azul, vacía. Aquí está la captura de pantalla que he logrado hacer:

Parece que probablemente sea un virus, ¿alguien podría ayudarme, por favor?
He ejecutado un análisis de FRST, como indicó Bazfile y les adjunto los dos enlaces de cjoint.com:
- Archivo Addition.txt: https://www.cjoint.com/c/NCsvoA0cSMP
- Archivo FRST.txt: https://www.cjoint.com/c/NCsvsgLpxNP
Espero que puedan ayudarme. ¡Mil gracias de antemano!
3 respuestas
Hola,
--> Copia lo que se encuentra aquí https://www.cjoint.com/doc/24_03/NCswe7H21qg_fixlist.txt desde start:: hasta end:: (sin pegarlo en ningún lado)
--> Abre FRST (o FRST64) como administrador y haz clic en Corregir
Si FRST parece bloquearse o no responde, déjalo correr
--> La PC pedirá reiniciar, acepta
--> Se creará un archivo fixlog en el mismo lugar que FRST, publícalo como los otros informes
--> La corrección limpiará el firewall, los programas que inicies después solicitarán acceso en el primer lanzamiento
--> Dime si aún tienes el problema.
¡Mil gracias MysteryBean por tu rapidez y por tu increíble ayuda salvadora!
Después de la corrección, aquí está el archivo Fixlog.txt resultante:
Resultados de corrección de Farbar Recovery Scan Tool (x64) Versión: 19.03.2024 Ejecutado por Usuario (19-03-2024 21:41:23) Ejecución:2 Ejecutado desde C:\Users\Usuario\Desktop Perfiles cargados: Usuario Modo de arranque: Normal ============================================== contenido de fixlist: ***************** start:: closeprocesses: createrestorepoint: defaultuser0 (S-1-5-21-3375461410-1454050851-1953557858-1000 - Limitado - Deshabilitado) CustomCLSID: HKU\S-1-5-21-3375461410-1454050851-1953557858-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000}\localserver32 -> "C:\Program Files\Adobe\Acrobat DC\Acrobat\ADNotificationManager.exe" -ToastActivated => No hay archivo ContextMenuHandlers1: [DriveFS 28 o posterior] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> No hay archivo ContextMenuHandlers4: [DriveFS 28 o posterior] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> No hay archivo ContextMenuHandlers5: [DriveFS 28 o posterior] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> No hay archivo ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No hay archivo SearchScopes: HKU\S-1-5-21-3375461410-1454050851-1953557858-1001 -> DefaultScope {CB71AAF6-FA5A-4501-B4A9-D213ABBD1322} URL = SearchScopes: HKU\S-1-5-21-3375461410-1454050851-1953557858-1001 -> {CB71AAF6-FA5A-4501-B4A9-D213ABBD1322} URL = HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> GroupPolicy-Firefox: Restricción <==== ATENCIÓN Tarea: {918FAB71-4746-4D99-8220-6FD82D02801E} - System32\Tasks\Microsoft\Windows\Data Integrity Scan\Data Integrity Scan for Crash Recovery7eEDyQYF => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-24] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Oculto -ExecutionPolicy Bypass -File "C:\Users\Usuario\AppData\Roaming\discord\wvnS5v.ps1" <==== ATENCIÓN Tarea: {3E270D60-4D1F-401E-B9C4-ABAC23BA8884} - System32\Tasks\Microsoft\Windows\HelloFace\FODCleanupTaskMdKq3BtO => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-24] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Oculto -ExecutionPolicy Bypass -File "C:\Users\Usuario\AppData\Roaming\DropboxElectron\zH4lFdHbs.ps1" <==== ATENCIÓN Tarea: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (No hay archivo) Tarea: {7AC01EC7-411A-47A3-856D-EA42E9D6251A} - System32\Tasks\Microsoft\Windows\SyncCenter\MJs8tc => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-24] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Oculto -ExecutionPolicy Bypass -File "C:\Users\Usuario\AppData\Roaming\Adobe\7dCti1.ps1" <==== ATENCIÓN Tarea: {878F7A1A-DD2E-4C03-B0AE-F71D12A4DD0B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe Display (No hay archivo) Tarea: {93407F19-13F3-4E3F-8586-DE4DF697405A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (No hay archivo) Tarea: {72F5CBA4-84E8-4921-B559-BABF11BCEF9E} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (No hay archivo) Tarea: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (No hay archivo) Tarea: {7F15CC3A-0199-455D-97A7-6FBA941B023B} - System32\Tasks\S-1-5-21-3375461410-1454050851-1953557858-1001\DataSenseLiveTileTask => %SystemRoot%\System32\DataUsageLiveTileTask.exe (No hay archivo) CHR HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Usuario\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx <no encontrado(a)> CHR HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ekmeppjgajofkpiofbebgcbohbmfldaf] CHR HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok] CHR HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] CHR HKLM-x32\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci] - C:\Program Files (x86)\Foxit Software\Foxit PDF Editor\plugins\Creator\ChromeAddin\ChromeAddin.crx [2023-02-08] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [ekmeppjgajofkpiofbebgcbohbmfldaf] CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok] C:\Users\Usuario\AppData\Roaming\discord\wvnS5v.ps1 C:\Users\Usuario\AppData\Roaming\DropboxElectron C:\Users\Usuario\AppData\Roaming\Adobe S3 dcpm-notify; "C:\Program Files\Dell\CommandPowerManager\NotifyService.exe" [X] S4 Dell SupportAssist Remediation; "C:\Program Files\Dell\SARemediation\agent\DellSupportAssistRemedationService.exe" [X] S4 DellClientManagementService; "C:\Program Files (x86)\Dell\UpdateService\ServiceShell.exe" [X] S4 DellDigitalDelivery; "c:\Program Files (x86)\Dell Digital Delivery\DeliveryService.exe" [X] S2 rsSyncSvc; C:\Program Files\ReasonLabs\Common\rsSyncSvc.exe -pn:EPP -lpn:rav_antivirus -url:hxxps://update.reasonsecurity.com/v2/live -bn:ReasonLabs -dt:10 <==== ATENCIÓN cmd: netsh advfirewall reset emptytemp: end:: ***************** Proceso cerrado con éxito. El Punto de restauración se creó con éxito. defaultuser0 (S-1-5-21-3375461410-1454050851-1953557858-1000 - Limitado - Deshabilitado) => no encontrado(a) HKU\S-1-5-21-3375461410-1454050851-1953550858-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000} => no encontrado(a) HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\DriveFS 28 o posterior => no encontrado(a) HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\DriveFS 28 o posterior => no encontrado(a) HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\DriveFS 28 o posterior => no encontrado(a) HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui => no encontrado(a) "HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => no encontrado(a) HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CB71AAF6-FA5A-4501-B4A9-D213ABBD1322} => no encontrado(a) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{C885AA15-1764-4293-B82A-0586ADD46B35} => no encontrado(a) "C:\Program Files\Mozilla Firefox\distribution\policies.json" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{918FAB71-4746-4D99-8220-6FD82D02801E}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\Data Integrity Scan\Data Integrity Scan for Crash Recovery7eEDyQYF" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Data Integrity Scan\Data Integrity Scan for Crash Recovery7eEDyQYF" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3E270D60-4D1F-401E-B9C4-ABAC23BA8884}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\HelloFace\FODCleanupTaskMdKq3BtO" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\HelloFace\FODCleanupTaskMdKq3BtO" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7AC01EC7-411A-47A3-856D-EA42E9D6251A}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\SyncCenter\MJs8tc" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\SyncCenter\MJs8tc" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{878F7A1A-DD2E-4C03-B0AE-F71D12A4DD0B}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{93407F19-13F3-4E3F-8586-DE4DF697405A}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_AC" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{72F5CBA4-84E8-4921-B559-BABF11BCEF9E}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7F15CC3A-0199-455D-97A7-6FBA941B023B}" => no encontrado(a) "C:\WINDOWS\System32\Tasks\S-1-5-21-3375461410-1454050851-1953557858-1001\DataSenseLiveTileTask" => no encontrado(a) "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\S-1-5-21-3375461410-1454050851-1953557858-1001\DataSenseLiveTileTask" => no encontrado(a) HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\apdfllckaahabafndbhieahigkjlhalf => no encontrado(a) HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\efaidnbmnnnibpcajpcglclefindmkaj => no encontrado(a) HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\ekmeppjgajofkpiofbebgcbohbmfldaf => no encontrado(a) HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok => no encontrado(a) HKU\S-1-5-21-3375461410-1454050851-1953557858-1001\SOFTWARE\Google\Chrome\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh => no encontrado(a) HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\cifnddnffldieaamihfkhkdgnbhfmaci => no encontrado(a) "C:\Program Files (x86)\Foxit Software\Foxit PDF Editor\plugins\Creator\ChromeAddin\ChromeAddin.crx" => no encontrado(a) HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\efaidnbmnnnibpcajpcglclefindmkaj => no encontrado(a) HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ekmeppjgajofkpiofbebgcbohbmfldaf => no encontrado(a) HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok => no encontrado(a) "C:\Users\Usuario\AppData\Roaming\discord\wvnS5v.ps1" => no encontrado(a) "C:\Users\Usuario\AppData\Roaming\DropboxElectron" => no encontrado(a) "C:\Users\Usuario\AppData\Roaming\Adobe" => no encontrado(a) dcpm-notify => servicio no encontrado(a). Dell SupportAssist Remediation => servicio no encontrado(a). DellClientManagementService => servicio no encontrado(a). DellDigitalDelivery => servicio no encontrado(a). rsSyncSvc => servicio no encontrado(a). ========= netsh advfirewall reset ========= Ok. ========= Fin de CMD: ========= =========== EmptyTemp: ========== FlushDNS => completado(a) BITS transfer queue => 0 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6306816 B Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B Windows/system/drivers => 1651 B Edge => 0 B Chrome => 0 B Firefox => 22071765 B Opera => 0 B Temp, IE cache, history, cookies, recent: Default => 0 B ProgramData => 0 B Public => 0 B systemprofile => 23107054 B systemprofile32 => 23107062 B LocalService => 23769352 B NetworkService => 23770628 B Usuario => 67250610 B RecycleBin => 0 B EmptyTemp: => 180.6 MB datos temporales eliminados. ================================ El sistema tuvo que reiniciarse. ==== Fin de Fixlog 21:42:55 ==== A primera vista, ya no hay problemas, el PC es más rápido.
¡Una vez más gracias!