Protocolo de eliminación PHOTO 018.exe
Resueltobazfile Mensajes publicados 58507 Fecha de registro Estado Moderador Última intervención -
Hola,
Mi Galaxy Book2 (NP750XED-KB3FR) está dañando cualquier clave o disco duro externo añadiendo de forma irreversible la temida carpeta "Photo 018.exe".
Veo que este problema fue resuelto en abril pasado por el talentoso "bazfile", y me gustaría saber si sería posible generar un script de desinfección para este caso concreto, en la medida de lo posible, por supuesto.
Adjunto los informes de análisis obtenidos por FRST:
- FRST: https://www.cjoint.com/c/NIbwzm6lZx7
- Addition: https://www.cjoint.com/c/NIbwAsLvYw7
Gracias de antemano a cualquier persona que pueda dedicar unos momentos a leer mi solicitud,
Respetuosamente,
4 respuestas
-
Hola @fatcookie EstadoMiembro.
Tu problema data de hace más de un año, el archivo infectado está en tu PC desde el 9 de enero de 2023.
Procedimiento a seguir en el orden indicado:
1- Abre FRST como administrador, para ello haz clic con el botón derecho del ratón sobre FRST y elige ejecutar como administrador
2 - Copia íntegramente el script que está en el recuadro que sigue:Start:: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2281274065-122363012-1904882405-1001\...\Run: [Poisson18] => C:\ProgramData\Systeme\Systeme.exe [742871 2012-08-02] () [Archivo no firmado] [Archivo en uso] HKU\S-1-5-21-2281274065-122363012-1904882405-1001\...\Run: [Avast Browser] => C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\AvastBrowserUpdateCore.exe (No hay archivo) Task: {A6EA333C-85AF-42A0-99DE-804C33FB25E5} - System32\Tasks\Meta\Messenger-WSP-Helper-S-1-5-21-2281274065-122363012-1904882405-1001 => MessengerHelper.exe --lassie (No hay archivo) Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (No hay archivo) Task: {80680206-2FA2-4BD4-B9C4-C9618C1BE677} - System32\Tasks\Samsung\SamsungUpdate\UserModeWorker => C:\Program Files\Samsung\SamsungUpdate\SUUserModeWorker.exe (No hay archivo) FF Plugin HKU\S-1-5-21-2281274065-122363012-1904882405-1001: @update.avastbrowser.com/Avast Browser;version=3 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\npAvastBrowserUpdate3.dll [No hay archivo] FF Plugin HKU\S-1-5-21-2281274065-122363012-1904882405-1001: @update.avastbrowser.com/Avast Browser;version=9 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\npAvastBrowserUpdate3.dll [No hay archivo] S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X] CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{10564456-C142-4E56-9531-06CCCA12F812}\InprocServer32 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\psuser_64.dll => No hay archivo CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{167FD956-39C3-374C-927A-1D3C47CB6663}\InprocServer32 -> C:\Users\cloti\AppData\Local\AVAST Software\Browser\Update\1.8.1653.5\psuser_64.dll => No hay archivo CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{28A80003-18FD-411D-B0A3-3C81F618E22B}\InprocServer32 -> C:\Users\cloti\AppData\Local\Kingsoft\WPS Office\11.2.0.11417\office6\kwpsmenushellext64.dll => No hay archivo CustomCLSID: HKU\S-1-5-21-2281274065-122363012-1904882405-1001_Classes\CLSID\{f9458f9f-5ee9-d43c-187e-8cc1f751cd69}\localserver32 -> "C:\Users\cloti\AppData\Local\OneLaunch\5.22.2\onelaunch.exe" -ToastActivated => No hay archivo ContextMenuHandlers1_S-1-5-21-2281274065-122363012-1904882405-1001: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\cloti\AppData\Local\Kingsoft\WPS Office\11.2.0.11417\office6\kwpsmenushellext64.dll -> No hay archivo ContextMenuHandlers4_S-1-5-21-2281274065-122363012-1904882405-1001: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\cloti\AppData\Local\Kingsoft\WPS Office\11.2.0.11417\office6\kwpsmenushellext64.dll -> No hay archivo FirewallRules: [{001C3D5F-C45F-474D-87D6-AB173A942A20}] => (Permitir) C:\Program Files\Microsoft Office\root\Office16\outlook.exe => No hay archivo FirewallRules: [{D3C3DC96-2202-41E3-B0E8-A813086E8CEE}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => No hay archivo FirewallRules: [{DB627038-8152-42C3-95B0-CE7693A10302}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => No hay archivo FirewallRules: [{15F3FAA4-2C2E-42C6-89C5-AB16AA8855B3}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => No hay archivo FirewallRules: [{0690ABDE-3355-495C-82A9-ED5E3868F112}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => No hay archivo FirewallRules: [{A892B005-86EF-411A-BCEB-BE6BF2D8BD6D}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => No hay archivo FirewallRules: [{27356081-F1FE-4982-8928-7AD57D665D01}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => No hay archivo FirewallRules: [{4C5C390C-0387-4230-A8A8-3E597D42581B}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => No hay archivo FirewallRules: [{FEC5EF23-77A4-43E3-9E25-78B0D512CE34}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => No hay archivo FirewallRules: [{3E328E19-F7E9-47C7-8ADD-19E3F04A9547}] => (Permitir) C:\Program Files (x86)\Tenorshare\Tenonsare 4DDiG\UpdateService.exe => No hay archivo FirewallRules: [{4AE5998D-0640-4BFD-8C60-06C21A3B4CB4}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\UpdateService.exe => No hay archivo FirewallRules: [{85743DD4-7E85-496E-9A8B-561E0C9E9B06}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\preuninstall.exe => No hay archivo FirewallRules: [{A6106F05-B5D1-4050-A1B8-40B4582FD16E}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\preuninstall.exe => No hay archivo FirewallRules: [{33BA05E9-17F5-425D-BF04-59437D8C1666}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\DeviceViewerService.exe => No hay archivo FirewallRules: [{2F81F692-A53A-47D5-80DB-8C4AAC3B72F3}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\DeviceViewerService.exe => No hay archivo FirewallRules: [{8CA35349-9B5C-463A-8681-7880EFD4FDFF}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\NASConnecter.exe => No hay archivo FirewallRules: [{EEC44952-6A2E-4C2C-8A81-6355A1BCD848}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\NASConnecter.exe => No hay archivo FirewallRules: [{6088DAFD-F5E1-44BF-A9DB-F14841BA8AAF}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\DataScanService.exe => No hay archivo FirewallRules: [{F9CB5522-F77F-429C-9E47-68F19763BC3B}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\DataScanService.exe => No hay archivo FirewallRules: [{EC4ADA9F-AE20-4FD9-9A8A-079C53BF7626}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\DataRecoveryService.exe => No hay archivo FirewallRules: [{C5212E72-C812-40D1-9FD6-04E594718E6F}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\DataRecoveryService.exe => No hay archivo FirewallRules: [{9CFC8526-E83B-4286-8D9B-19CFF9F31A37}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\MsgSupport\MsgSupportService.exe => No hay archivo FirewallRules: [{47B11B7D-F272-4CEE-9BAD-FAD685B8B6F6}] => (Permitir) C:\Program Files (x86)\Tenonsare 4DDiG\MsgSupport\MsgSupportService.exe => No hay archivo C:\ProgramData\Systeme EmptyTemp: End::3- Una vez copiado el script, haz clic en Corregir, FRST toma automáticamente el script que está en el portapapeles.
Deja que la corrección se realice, una vez que haya terminado se te pedirá reiniciar tu PC, hazlo tan pronto como se te pida, ver más abajo.Luego una vez que tu computadora se haya reiniciado:
4- Tendrás un archivo Fixlog en tu escritorio, luego envía este informe fixlog a https://www.cjoint.com/ o https://pixeldrain.com/
Luego da el enlace generado por https://www.cjoint.com/ o https://pixeldrain.com/ en tu respuesta.
5- Atención, no abrir las llaves USB y discos duros externos infectados, de lo contrario tu PC será instantáneamente reinfectado.
6- Para desinfectar las llaves USB y discos duros infectados.
DOS SOLUCIONES:
- O usas KVRT para saber cómo usarlo ver esta página párrafo Kaspersky Virus Removal Tool (KVRT), atención de marcar bien las letras de las llaves USB y discos duros externos infectados en all volumes.

- O descargas Remediate VBS WORM abres Remediate VBS WORM seleccionas la opción B así:
Luego presiona la tecla Entrar, aparece una ventana, introduce la letra de tu llave USB o del disco duro externo a desinfectar atención, nunca poner el disco C:Presiona la tecla Entrar, cuando la desinfección haya terminado abre el disco C, encontrarás un archivo llamado Rem-VBS.log envíalo a https://www.cjoint.com/ pon el enlace generado en tu respuesta.
Repite para cada dispositivo USB infectado.
7- VERIFICA Y DIME SI TU PROBLEMA SIGUE PRESENTE.
bazfile
Moderador/Contribuyente de seguridad.
Un saludo, una respuesta, un gracias siempre son bienvenidos. -
Hola @bazfile EstadoModerador, Colaborador de seguridad,
Primero que nada, muchas gracias por el tiempo que dedicas a mi problema y por la rapidez de tu respuesta.
A continuación, el cjoint del fixlog: https://www.cjoint.com/c/NIctEWBQ4sl
En cuanto a las claves y discos infectados, estoy utilizando tu solución n°1, KVRT, el escaneo aún no ha terminado, pero el análisis continúa perfectamente.
Gracias de nuevo por tu tiempo,
-
@bazfile EstadoModerador, Colaborador de seguridad ¡Genial! ¡Un inmenso agradecimiento por el tiempo que han dedicado!
Paralelamente, el escaneo KVRT ha terminado y ha podido eliminar el virus de los discos duros y USB, ¡todo está bien por ese lado también!
Confieso que tengo una curiosidad extrema, y me gustaría poder reparar también todos los ordenadores infectados en mi entorno por el mismo virus. Por lo tanto, me gustaría preguntarle cómo procedió para redactar este script de desinfección a partir del informe FRST.
Si no desean/pueden compartir su protocolo por razones que les son propias, ¿cómo les gustaría que procediera para llevarles a todas las personas infectadas sin tener que crear mil duplicados de esta discusión? ¿Quizás por mensaje privado?
Gracias de nuevo por su trabajo,
-
@fatcookie EstadoMiembro .
Si es la misma infección, para los ordenadores con llaves USB y discos externos infectados en tu entorno, creo que un escaneo con KVRT será suficiente, desinfectará todo (pc y USB) porque esta infección está en sus bases, no todos los antivirus son efectivos contra esta infección, es algo que verifiqué antes de proponértelo.
Si no funciona, haz análisis FRST de los pc y continúa en esta publicación.
Para información:
KVRT tiene la ventaja de ser un software portátil (sin instalación) por lo que no interfiere con el antivirus residente, ya que nunca se deben tener dos antivirus en protección residente en un pc, esto provoca fuertes ralentizaciones y errores que pueden llegar hasta el bloqueo del pc.
Sabe que también puedes vacunar tus dispositivos USB ver esta página.
En cuanto a FRST, permite ver lo que no va en el pc, especialmente las infecciones, pero no solo eso, permite la optimización del pc y eliminar cosas que los antivirus no necesariamente eliminarán.
Usar FRST no es posible sin una formación porque hay que conocer bien el sistema para no hacer tonterías, ya que FRST elimina todo lo que se le dice que elimine y se puede bloquear fácilmente un pc.
En cuanto a tu infección, se iniciaba al arrancar el pc a través del archivo ejecutable Systeme.exe que está en C:\ProgramData\Systeme\Systeme.exe. En el momento en que un dispositivo USB se conecta a un pc infectado, el dispositivo USB se infecta automáticamente y tan pronto como este dispositivo USB infectado se conecta a un pc y se abre, el pc se infecta automáticamente, es un ciclo sin fin.
En los otros pcs infectados pienso que este archivo y esta carpeta deben estar presentes.
Importante:
Desinstala FRST, renombra el archivo FRST que has descargado, cámbiale el nombre a uninstall, luego, una vez que el archivo haya sido renombrado, ábrelo, la desinstalación se realizará automáticamente mediante un reinicio del pc.



