• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    Salu2 y infección rara (si es que la hay).

    Hola queridos ex-compañ[email protected] del foro esta vez no vengo como ayudante sino como ayudado , todo y que tengo muchas ganas de volver al foro y volver a estar activo como antes. No lo descarto ...

    1. #1
      Ex-Colaborador Avatar de Marr0n
      Registrado
      mar 2010
      Ubicación
      Catalunya
      Mensajes
      5.876

      Salu2 y infección rara (si es que la hay).

      Hola queridos ex-compañ[email protected] del foro esta vez no vengo como ayudante sino como ayudado , todo y que tengo muchas ganas de volver al foro y volver a estar activo como antes. No lo descarto (pues os hecho en falta bastante).

      Mi problema es el siguiente (víctima == MiPC):

      Hace unos días funcionaba , de repente el consumo de RAM subió por las nubes (tengo 12 GB y subió a 11,8 aprox.)
      sin tener ningún programa ejecutándose en primer plano. Haciendo que el PC fuera tan lento que me era imposible trabajar, simplemente había cargado el O.S. en Modo Normal y los programas y servicios que se cargan al iniciar el O.S.

      Mis sospechas se encaminan a que fuese un Malware, así que hice lo siguiente:

      Pase el AdwareCleaner y el JRT. Este último detectándome el pdfforge como Adware.

      Pase el en Análisis personalizado con los siguientes parámetros:


      • Analizar objetos en memoria.
      • Analizar configuración de inicio y de registro.
      • Analizar dentro de los archivos.
      • Análisis en busca de rootkits.
      • Seleccionando las diferentes particiones de mi disco duro (dispositivos externos no incluidos).


      Cuando llevaba unas 8 H se quedaba trabado y ya no avanzaba mas, así que utilice la artillería pesada (todo y que podía haber utilizado: DRWebCureIT + Eset Online Scanner).

      Primero utilice OTL con los parámetros que nosotros siempre utilizamos, detecte algunos archivos sospechosos, de los que estaba seguro que eran Malware los incluí en el Script de Reparación de OTL a parte de incluir tam archivos basura o entradas de registro que podían optimizar el uso de Mi Maquina. Una vez reiniciado, el consumo de RAM ya era normal (3,5 GB aprox) pero no me fiaba de algunos archivos que no estaba del todo seguro así que:

      Seguidamente, ejecute CF. Mis sospechas se confirmaron, automáticamente elimino los archivos de los cuales sospechaba al crear el Script de OTL.

      Finalmente ejecute Farbar Recovery Scan, y encontré una cosa pero creo yo que con poca importancia.
      Ejecuté TDSKILLER para descartar RootKit, aunque tam los detecta. Todo correcto, no detecto ninguno.

      Ejecute DelFix para eliminar residuos que dejan los programas de desinfección, todo y que conservo capturas y algunos de los Scripts de Reparación tanto de Análisis de CF, OTL o Farbar.

      Estado actual, la máquina va bastante el problema parece estar solucionado pues el consumo de RAM ya no sube a lo bestia (4 GB aprox.) a no ser que ejecute IDEs de programación, servidores Web o de BBDD o entornos de virtualizacion como VMWare,Esxi o VirtualBOX.

      Pero lo que me hace levantar sospechas de que aun sigue infectada es lo siguiente:
      1. El antivirus Avast me detecta el como proceso infectado, como puede verse en la siguiente imagen: creo yo que debe ser un falso positivo, ahora que lo pienso ya hace bastante tiempo (antes de este problema de laRAM) que alguna vez me había detectado el como infectado pero no le di más importancia pues al funcionar correctamente el PC pensé falso positivo de Avast. Me he fijado que siempre es a la misma hora o en el mismo rango de horas de 2 a 3:30 aprox de la mañana.
      2. Ahora al abrir Firefox siempre el me detecta un Exploit y lo bloquea correctamente y cierra Firefox. Como puede verse en la siguiente imagen: por lo que veo es un Plug-In de Firefox que lo detecta como Exploit pero los Plug-Ins que hay son los mismos antes que tuviera el problema de la RAM.


      Creo yo que algo se me escapa pero no veo el que . Gracias por vuestra posible ayuda, haber si se os ocurre algo.

      P.D.: Esto de escribir engancha, creo que volveré poco a poco, pero volveré.


      Gracias y salu2 a [email protected], garcías por seguir estando siempre al pie del cañon .
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Moderador
      Avatar de @MiguelRiaguel
      Registrado
      dic 2008
      Ubicación
      España
      Mensajes
      12.140

      Re: Salu2 y infección rara (si es que la hay).

      Que tal Marr0n... cuánto tiempo!!!!!!!

      Una alegría volver a leerte Será genial que vuelvas a aprovechar el tiempo libre que puedas tener, para volver por el foro. Por aquí, ya sabes que toda ayuda siempre viene muy bien.

      Respecto al problema con tu equipo, ya veo que has hecho unos cuantos pasos Se me ocurre que desinstales Malwarebytes por si fue comprometido durante la infección que has tenido (ejecuta CCleaner posteriormente para eliminar rastros de la desinstalación), y que posteriormente ejecutes ZHPCleaner // para descargarlo pulsa en el botón Telecharger de la página:

      • Cierra todos los navegadores
      • Doble clic para ejecutarlo y Presiona el Botón Scanner. Espera a que termine.
      • Se va a generar un reporte en el escritorio llamado ZHPCleaner.
      • Presiona el Botón Reparar.
      • Cuando termine, cierra todos los programas y reinicia el ordenador.
      • Copias y pegas en tu próxima respuesta el contenido del reporte que se ha generado, y así vemos que quedaba por tu sistema.


      Para finalizar, vuelve a instalarte tu Malwarebytes Anti-Malware y ejecutas ahora un Análisis Personalizado.

      Ya nos comentas que tal fue todo. Estamos en contacto, compi.
      El problema de los virus es pasajero y durará un par de años / John McAfee - fundador de McAfee

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Ex-Colaborador Avatar de Marr0n
      Registrado
      mar 2010
      Ubicación
      Catalunya
      Mensajes
      5.876

      Re: Salu2 y infección rara (si es que la hay).

      Ok, gracias. Primero de todo pedirte disculpas por mi tardanza, pues he estado atareado y no lo he podido hacer hasta ayer viernes por la mañana. A parte ha dado más guerra de la esperada (más abajo te cuento).

      Lo mismo digo, lo intentaré pues me gustaría volver pero no tengo tanto time como antes iré haciendo en función del tiempo que tenga.

      Respecto al problema:

      He desintalado el y he eliminado los rastros de la desinstalación con: y Argente Registry Cleaner.

      He ejecutado ZHPCleaner, este es su reporte:

      Código:
      ~ ZHPCleaner v2018.2.16.30 by Nicolas Coolman (2018/02/16)
      ~ Run by GRV (Administrator)  (16/02/2018 19:49:33)
      ~ Web: https://www.nicolascoolman.com
      ~ Blog: https://nicolascoolman.eu/
      ~ Facebook : https://www.facebook.com/nicolascoolman1
      ~ State version : Version OK
      ~ Certificate ZHPCleaner: Legal
      ~ Type : Reparar
      ~ Report : C:\Users\GRV\Desktop\ZHPCleaner.txt
      ~ Quarantine : C:\Users\GRV\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
      ~ UAC : Activate
      ~ Boot Mode : Normal (Normal boot)
      Windows 7 Professional, 64-bit Service Pack 1 (Build 7601)
      
      
      
      
      ---\\  Alternate Data Stream (ADS). (0)
      ~ No malintencionados o innecesarios artículos encontrados.
      
      
      
      
      ---\\  Servicios (0)
      ~ No malintencionados o innecesarios artículos encontrados.
      
      
      
      
      ---\\  Navegadores de Internet (0)
      ~ No malintencionados o innecesarios artículos encontrados.
      
      
      
      
      ---\\  Hosts carpeta (1)
      ~ El archivo hosts es legítimo (1)
      
      
      
      
      ---\\  Tareas automáticas programadas. (0)
      ~ No malintencionados o innecesarios artículos encontrados.
      
      
      
      
      ---\\  Explorador ( Archivos, Carpetas ) (12)
      MOVIDO carpeta: C:\Users\GRV\Downloads\DLLEscort_Setup.exe [ - DLL Escort Setup]  =>PUP.Optional.Funmoods
      MOVIDO carpeta: C:\Users\GRV\Downloads\PCFixKit_Setup (1).exe [www.PCFixKit.com - PCFixKit Setup]  =>.SUP.PCFixKit
      MOVIDO carpeta: C:\Users\GRV\Downloads\PCFixKit_Setup.exe [www.PCFixKit.com - PCFixKit Setup]  =>.SUP.PCFixKit
      MOVIDO archivo*: C:\Users\GRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf  =>.SUP.Orphan
      MOVIDO archivo*: C:\Users\GRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo  =>.SUP.Orphan
      MOVIDO archivo*: C:\Users\GRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf  =>.SUP.Orphan
      MOVIDO archivo*: C:\Users\GRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda  =>.SUP.Orphan
      MOVIDO archivo*: C:\Users\GRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia  =>.SUP.Orphan
      MOVIDO archivo*: C:\Users\GRV\AppData\Roaming\PDAppFlex  =>Trojan.Elpman
      MOVIDO archivo*: C:\Users\GRV\AppData\Roaming\mulehome  =>.P2P.eMule
      MOVIDO archivo*: C:\Users\GRV\AppData\Local\eMuleTorrent  =>.P2P.eMule
      MOVIDO archivo*: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime
      
      
      
      
      ---\\  Registro ( Claves, Valores, Datos) (5)
      BORRADOS dados: [X64] HKLM\SOFTWARE\Classes\WebIde100\Shell\Open\Command\\Default [Bad : [js] F:\Program Files (x86)\JetBrains\PhpStorm 10.0.1\bin\PhpStorm.exe "%1"]  =>Broken.OpenCommand
      BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\DotNetUtils20.exe [C:\Program Files (x86)\SAP\SAPsetup\Setup\DotNetUtils20.exe]  =>.SUP.Netutils
      BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\021D819D21C6410158BD04DE22B9C649 [F:\Strawberry\perl\lib\ExtUtils\Config.pm]  =>PUP.Optional.Manager
      BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0480919D21C6410158BD04DE22B9C649 [F:\Strawberry\perl\lib\ExtUtils\Manifest.pm]  =>PUP.Optional.Manager
      BORRADOS clave: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\DotNetUtils20.exe [C:\Program Files (x86)\SAP\SAPsetup\Setup\DotNetUtils20.exe]  =>.SUP.Netutils
      
      
      
      
      ---\\  Resumen de elementos en su estación de trabajo (9)
      https://www.nicolascoolman.com/fr/pup-funmoods/  =>PUP.Optional.Funmoods
      https://nicolascoolman.eu/2018/02/14/sup-pcfixkit/  =>.SUP.PCFixKit
      https://nicolascoolman.eu/2017/09/12/origine-lignes-orphelines/  =>.SUP.Orphan
      https://nicolascoolman.eu/2017/09/23/trojan-elpman/  =>Trojan.Elpman
      https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>.P2P.eMule
      https://nicolascoolman.eu/2017/01/15/riskware-quicktime/  =>Riskware.QuickTime
      https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>Broken.OpenCommand
      https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Netutils
      https://www.nicolascoolman.com/fr/pup-manager/  =>PUP.Optional.Manager
      
      
      
      
      ---\\ Limpieza adicional. (12)
      ~ Clave de registro Tracing borrados (12)
      ~ Quitar los antiguos informes de ZHPCleaner. (0)
      
      
      
      
      ---\\ Resultado de la reparación.
      ~ Reparación llevada a cabo con éxito
      
      
      
      
      ---\\ STATISTIQUES
      ~ Items escaneado : 2665
      ~ Items encontrado : 0
      ~ artículos cancelados : 0
      ~ Items opciones : 0/7
      ~ Ahorro de espacio (bytes) : 0
      
      
      
      
      ~ End of clean in 00h01mn28s
      
      
      ---\\  Reporte (2)
      ZHPCleaner-[S]-16022018-12_45_02.txt
      ZHPCleaner-[R]-16022018-19_51_01.txt
      Ya he ejecutado el con los siguientes parámetros de Análisis:



      Lo he intentado varias veces, pero nunca llega a finalizar el Análisis, pues siempre se queda trabado en el mismo archivo:



      Al quedarse trabado no genera reporte y ni Cancelando finaliza el Análisis. Debo cerrar el , de todas formas te informo que ha detectado una infección pero es un Falso positivo de la Quarentena de ZHPCleaner, la ruta es la siguiente:

      C:\Users\GRV\AppData\Roaming\ZHP\Quarantine

      De momento no la he eliminado, espero instrucciones tuyas.


      Muchas gracias Compañero por tu valiosa ayuda .

      Salu2.


      P.D.: Parece ser que esto ira por largo.
      Última edición por Marr0n fecha: 17/02/18 a las 16:58:18
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Moderador
      Avatar de @MiguelRiaguel
      Registrado
      dic 2008
      Ubicación
      España
      Mensajes
      12.140

      Re: Salu2 y infección rara (si es que la hay).

      Hola compi:

      Con Malwarebytes, no sé si intentaste realizar ese análisis desde modo seguro De todas maneras, vas a destildar la opción de "Análisis en busca de rootkits" y entonces realiza ese Análisis Personalizado. Nos dejas ese reporte

      Posteriormente, descarga Malwarebytes Anti-Rootkit (Beta) (su manual de uso).

      • Descomprimirlo directamente en el escritorio de Windows.
      • Abrir la carpeta Mbar, haces doble clic en el archivo Mbar.exe
      • En la ventana que saldrá pulsas en "Next".
      • Pulsar en "Update", y cuando termine en "Next"
      • Ahora inicias el análisis pulsando en el botón "Scan"
      • Al terminar, si existe infección pulsamos en "CleanUp" y si no hay infección pulsamos en ""Exit"
      • Al terminar, busca en la carpeta Mbar, y abres los archivos mbar-log.txt y system-log.txt


      Y, puedes probar a subir a VirusTotal el archivo donde se queda bloqueado en su análisis MBAN, para ver que resultado te arroja.
      Estamos en contacto
      El problema de los virus es pasajero y durará un par de años / John McAfee - fundador de McAfee

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Ex-Colaborador Avatar de Marr0n
      Registrado
      mar 2010
      Ubicación
      Catalunya
      Mensajes
      5.876

      Re: Salu2 y infección rara (si es que la hay).

      Gracias por todo.

      Lo realice en Modo Normal siempre, nunca en Modo Seguro.

      Ok, esta vez al destildar la opción de "Análisis en busca de rootkits" el Análisis Personalizado se ha realizado correctamente. Ha encontrado una sola amenaza que es la que te dije antes, todo y que esta claro que es un falso positivo la he puesta en la Cuarentena del .
      ¿La elimino o antes de quitar el ZHPCleaner (sea con DelFix o con su desinstalador) la restaura y después lo quito para que se elimine esta tam?

      El reporte del :

      Código:
      Malwarebytes
      www.malwarebytes.com
      
      
      -Detalles del registro-
      Fecha del análisis: 18/2/18
      Hora del análisis: 17:25
      Archivo de registro: 663db4ea-14c8-11e8-884c-10c37bda385b.json
      Administrador: Sí
      
      
      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.262
      Versión del paquete de actualización: 1.0.3994
      Licencia: Gratis
      
      
      -Información del sistema-
      SO: Windows 7 Service Pack 1
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: GRV-PC\GRV
      
      
      -Resumen del análisis-
      Tipo de análisis: Análisis personalizado
      Resultado: Completado
      Objetos analizados: 1132794
      Amenazas detectadas: 1
      Amenazas en cuarentena: 1
      Tiempo transcurrido: 2 hr, 16 min, 52 seg
      
      
      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Desactivado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar
      
      
      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)
      
      
      Módulo: 0
      (No hay elementos maliciosos detectados)
      
      
      Clave del registro: 0
      (No hay elementos maliciosos detectados)
      
      
      Valor del registro: 0
      (No hay elementos maliciosos detectados)
      
      
      Datos del registro: 0
      (No hay elementos maliciosos detectados)
      
      
      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)
      
      
      Carpeta: 0
      (No hay elementos maliciosos detectados)
      
      
      Archivo: 1
      PUP.Optional.PCFixKit, C:\USERS\GRV\APPDATA\ROAMING\ZHP\QUARANTINE, Se eliminará al reiniciar, [14895], [491094],1.0.3994
      
      
      Sector físico: 0
      (No hay elementos maliciosos detectados)
      
      
      
      
      (end)
      El Mbar tampoco ha detectado Infección alguna (Rootkit'S), de todas formas te dejo ambos reportes con su respectivo orden:

      Código:
      Malwarebytes Anti-Rootkit BETA 1.10.3.1001
      www.malwarebytes.org
      
      
      Database version:
        main:    v2018.02.18.05
        rootkit: v2018.01.23.01
      
      
      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 11.0.9600.18920
      GRV :: GRV-PC [administrator]
      
      
      18/02/2018 20:05:39
      mbar-log-2018-02-18 (20-05-39).txt
      
      
      Scan type: Quick scan
      Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
      Scan options disabled: 
      Objects scanned: 278908
      Time elapsed: 30 minute(s), 27 second(s)
      
      
      Memory Processes Detected: 0
      (No malicious items detected)
      
      
      Memory Modules Detected: 0
      (No malicious items detected)
      
      
      Registry Keys Detected: 0
      (No malicious items detected)
      
      
      Registry Values Detected: 0
      (No malicious items detected)
      
      
      Registry Data Items Detected: 0
      (No malicious items detected)
      
      
      Folders Detected: 0
      (No malicious items detected)
      
      
      Files Detected: 0
      (No malicious items detected)
      
      
      Physical Sectors Detected: 0
      (No malicious items detected)
      
      
      (end)
      Código:
      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.10.3.1001
      
      
      (c) Malwarebytes Corporation 2011-2012
      
      
      OS version: 6.1.7601 Windows 7 Service Pack 1 x64
      
      
      Account is Administrative
      
      
      Internet Explorer version: 11.0.9600.18920
      
      
      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED, F:\ DRIVE_FIXED, G:\ DRIVE_FIXED, H:\ DRIVE_FIXED
      CPU speed: 2.793000 GHz
      Memory total: 12773609472, free: 9713721344
      
      
      =======================================
      
      
      
      
      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.10.3.1001
      
      
      (c) Malwarebytes Corporation 2011-2012
      
      
      OS version: 6.1.7601 Windows 7 Service Pack 1 x64
      
      
      Account is Administrative
      
      
      Internet Explorer version: 11.0.9600.18920
      
      
      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED, F:\ DRIVE_FIXED, G:\ DRIVE_FIXED, H:\ DRIVE_FIXED
      CPU speed: 2.793000 GHz
      Memory total: 12773609472, free: 9912098816
      
      
      Downloaded database version: v2018.02.18.05
      Downloaded database version: v2018.01.23.01
      Downloaded database version: v2018.01.20.01
      =======================================
      Initializing...
      Driver version: 4.3.0.15
      ------------ Kernel report ------------
           02/18/2018 20:05:32
      ------------ Loaded modules -----------
      \SystemRoot\system32\ntoskrnl.exe
      \SystemRoot\system32\hal.dll
      \SystemRoot\system32\kdcom.dll
      \SystemRoot\system32\mcupdate_GenuineIntel.dll
      \SystemRoot\system32\PSHED.dll
      \SystemRoot\system32\CLFS.SYS
      \SystemRoot\system32\CI.dll
      \SystemRoot\system32\drivers\Wdf01000.sys
      \SystemRoot\system32\drivers\WDFLDR.SYS
      \SystemRoot\system32\drivers\ACPI.sys
      \SystemRoot\system32\drivers\WMILIB.SYS
      \SystemRoot\system32\drivers\msisadrv.sys
      \SystemRoot\system32\drivers\pci.sys
      \SystemRoot\system32\drivers\vdrvroot.sys
      \SystemRoot\system32\DRIVERS\iusb3hcs.sys
      \SystemRoot\System32\drivers\partmgr.sys
      \SystemRoot\system32\drivers\compbatt.sys
      \SystemRoot\system32\drivers\BATTC.SYS
      \SystemRoot\system32\drivers\volmgr.sys
      \SystemRoot\System32\drivers\volmgrx.sys
      \SystemRoot\system32\drivers\pciide.sys
      \SystemRoot\system32\drivers\PCIIDEX.SYS
      \SystemRoot\system32\DRIVERS\vmci.sys
      \SystemRoot\system32\DRIVERS\vsock.sys
      \SystemRoot\System32\drivers\mountmgr.sys
      \SystemRoot\system32\drivers\atapi.sys
      \SystemRoot\system32\drivers\ataport.SYS
      \SystemRoot\system32\drivers\msahci.sys
      \SystemRoot\system32\DRIVERS\iaStorA.sys
      \SystemRoot\system32\DRIVERS\storport.sys
      \SystemRoot\system32\drivers\amdxata.sys
      \SystemRoot\system32\drivers\fltmgr.sys
      \SystemRoot\system32\drivers\fileinfo.sys
      \SystemRoot\System32\Drivers\Ntfs.sys
      \SystemRoot\System32\Drivers\msrpc.sys
      \SystemRoot\System32\Drivers\ksecdd.sys
      \SystemRoot\System32\Drivers\cng.sys
      \SystemRoot\System32\drivers\pcw.sys
      \SystemRoot\System32\Drivers\Fs_Rec.sys
      \SystemRoot\system32\drivers\ndis.sys
      \SystemRoot\system32\drivers\NETIO.SYS
      \SystemRoot\System32\Drivers\ksecpkg.sys
      \SystemRoot\System32\drivers\tcpip.sys
      \SystemRoot\System32\drivers\fwpkclnt.sys
      \SystemRoot\system32\drivers\aswRvrt.sys
      \SystemRoot\system32\drivers\aswVmm.sys
      \SystemRoot\system32\drivers\vmstorfl.sys
      \SystemRoot\system32\drivers\volsnap.sys
      \SystemRoot\system32\DRIVERS\stdcfltn.sys
      \SystemRoot\System32\Drivers\spldr.sys
      \SystemRoot\System32\drivers\rdyboost.sys
      \SystemRoot\System32\Drivers\mup.sys
      \SystemRoot\system32\drivers\mctkmdldr64.sys
      \SystemRoot\System32\Drivers\mbamswissarmy.sys
      \SystemRoot\System32\Drivers\CLASSPNP.SYS
      \SystemRoot\system32\DRIVERS\iaStorF.sys
      \SystemRoot\System32\drivers\hwpolicy.sys
      \SystemRoot\System32\DRIVERS\fvevol.sys
      \SystemRoot\system32\drivers\disk.sys
      \SystemRoot\system32\drivers\aswbuniva.sys
      \SystemRoot\system32\drivers\aswbloga.sys
      \SystemRoot\system32\drivers\aswbidsha.sys
      \SystemRoot\system32\drivers\aswSP.sys
      \SystemRoot\system32\drivers\aswSnx.sys
      \SystemRoot\system32\drivers\ks.sys
      \SystemRoot\System32\Drivers\Null.SYS
      \SystemRoot\System32\Drivers\Beep.SYS
      \SystemRoot\system32\drivers\aswKbd.sys
      \SystemRoot\System32\drivers\vga.sys
      \SystemRoot\System32\drivers\VIDEOPRT.SYS
      \SystemRoot\System32\drivers\watchdog.sys
      \SystemRoot\System32\DRIVERS\RDPCDD.sys
      \SystemRoot\system32\drivers\rdpencdd.sys
      \SystemRoot\system32\drivers\rdprefmp.sys
      \SystemRoot\System32\Drivers\Msfs.SYS
      \SystemRoot\System32\Drivers\Npfs.SYS
      \SystemRoot\system32\DRIVERS\tdx.sys
      \SystemRoot\system32\DRIVERS\TDI.SYS
      \SystemRoot\system32\drivers\afd.sys
      \SystemRoot\system32\drivers\aswRdr2.sys
      \SystemRoot\System32\DRIVERS\netbt.sys
      \SystemRoot\system32\drivers\ws2ifsl.sys
      \SystemRoot\system32\DRIVERS\wfplwf.sys
      \SystemRoot\system32\DRIVERS\pacer.sys
      \SystemRoot\system32\DRIVERS\vwififlt.sys
      \SystemRoot\system32\DRIVERS\VBoxNetAdp6.sys
      \SystemRoot\system32\DRIVERS\VBoxNetLwf.sys
      \SystemRoot\system32\DRIVERS\netbios.sys
      \SystemRoot\system32\DRIVERS\wanarp.sys
      \SystemRoot\system32\DRIVERS\VBoxUSBMon.sys
      \SystemRoot\system32\DRIVERS\VBoxDrv.sys
      \SystemRoot\system32\DRIVERS\termdd.sys
      \SystemRoot\system32\DRIVERS\rdbss.sys
      \SystemRoot\system32\drivers\nsiproxy.sys
      \SystemRoot\system32\DRIVERS\mssmbios.sys
      \SystemRoot\System32\Drivers\ElbyCDIO.sys
      \SystemRoot\System32\drivers\discache.sys
      \SystemRoot\system32\drivers\csc.sys
      \SystemRoot\System32\Drivers\dfsc.sys
      \SystemRoot\system32\DRIVERS\blbdrive.sys
      \??\C:\Program Files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys
      \SystemRoot\system32\drivers\aswbidsdrivera.sys
      \SystemRoot\system32\DRIVERS\tunnel.sys
      \SystemRoot\system32\DRIVERS\igdkmd64.sys
      \SystemRoot\system32\drivers\mctkmd64.sys
      \SystemRoot\System32\drivers\dxgkrnl.sys
      \SystemRoot\System32\drivers\dxgmms1.sys
      \SystemRoot\system32\DRIVERS\HDAudBus.sys
      \SystemRoot\system32\DRIVERS\AiCharger.sys
      \SystemRoot\system32\DRIVERS\iusb3xhc.sys
      \SystemRoot\system32\DRIVERS\USBD.SYS
      \SystemRoot\System32\Drivers\fastfat.SYS
      \SystemRoot\system32\DRIVERS\TeeDriverx64.sys
      \SystemRoot\system32\DRIVERS\e1d62x64.sys
      \SystemRoot\system32\DRIVERS\athrx.sys
      \SystemRoot\system32\DRIVERS\vwifibus.sys
      \SystemRoot\system32\DRIVERS\RtsP2Stor.sys
      \SystemRoot\system32\drivers\usbehci.sys
      \SystemRoot\system32\drivers\USBPORT.SYS
      \SystemRoot\system32\drivers\tpm.sys
      \SystemRoot\system32\DRIVERS\CmBatt.sys
      \SystemRoot\system32\DRIVERS\i8042prt.sys
      \SystemRoot\system32\DRIVERS\kbfiltr.sys
      \SystemRoot\system32\DRIVERS\AsusTP.sys
      \SystemRoot\system32\DRIVERS\kbdclass.sys
      \SystemRoot\system32\DRIVERS\mouclass.sys
      \SystemRoot\system32\DRIVERS\ST_Accel.sys
      \SystemRoot\system32\DRIVERS\intelppm.sys
      \SystemRoot\system32\DRIVERS\wmiacpi.sys
      \SystemRoot\system32\DRIVERS\CompositeBus.sys
      \SystemRoot\system32\DRIVERS\vncmirror.sys
      \SystemRoot\system32\DRIVERS\AgileVpn.sys
      \SystemRoot\system32\DRIVERS\rasl2tp.sys
      \SystemRoot\system32\DRIVERS\ndistapi.sys
      \SystemRoot\system32\DRIVERS\ndiswan.sys
      \SystemRoot\system32\DRIVERS\raspppoe.sys
      \SystemRoot\system32\DRIVERS\raspptp.sys
      \SystemRoot\system32\DRIVERS\rassstp.sys
      \SystemRoot\system32\DRIVERS\rdpbus.sys
      \SystemRoot\system32\DRIVERS\swenum.sys
      \SystemRoot\system32\DRIVERS\btath_bus.sys
      \SystemRoot\system32\DRIVERS\umbus.sys
      \SystemRoot\system32\DRIVERS\vmnetadapter.sys
      \SystemRoot\system32\DRIVERS\VMNET.SYS
      \SystemRoot\system32\drivers\usbhub.sys
      \SystemRoot\System32\Drivers\NDProxy.SYS
      \SystemRoot\system32\DRIVERS\iusb3hub.sys
      \SystemRoot\system32\DRIVERS\portcls.sys
      \SystemRoot\system32\DRIVERS\drmk.sys
      \SystemRoot\system32\drivers\ksthunk.sys
      \SystemRoot\system32\drivers\CHDRT64.sys
      \SystemRoot\system32\drivers\usbccgp.sys
      \SystemRoot\system32\DRIVERS\SzCCID.sys
      \SystemRoot\system32\DRIVERS\AlcGener.sys
      \SystemRoot\system32\DRIVERS\SMCLIB.SYS
      \SystemRoot\System32\DRIVERS\scfilter.sys
      \SystemRoot\System32\Drivers\crashdmp.sys
      \SystemRoot\System32\Drivers\dump_diskdump.sys
      \SystemRoot\System32\Drivers\dump_iaStorA.sys
      \SystemRoot\System32\Drivers\dump_dumpfve.sys
      \SystemRoot\system32\drivers\hidusb.sys
      \SystemRoot\system32\drivers\HIDCLASS.SYS
      \SystemRoot\system32\drivers\HIDPARSE.SYS
      \SystemRoot\system32\DRIVERS\kbdhid.sys
      \SystemRoot\system32\DRIVERS\mouhid.sys
      \SystemRoot\System32\win32k.sys
      \SystemRoot\System32\drivers\Dxapi.sys
      \SystemRoot\system32\DRIVERS\monitor.sys
      \SystemRoot\System32\TSDDD.dll
      \SystemRoot\System32\cdd.dll
      \SystemRoot\System32\ATMFD.DLL
      \SystemRoot\system32\drivers\luafv.sys
      \SystemRoot\system32\drivers\aswMonFlt.sys
      \SystemRoot\system32\drivers\WudfPf.sys
      \SystemRoot\system32\DRIVERS\WinUSB.sys
      \SystemRoot\system32\DRIVERS\WUDFRd.sys
      \SystemRoot\system32\DRIVERS\vmnetbridge.sys
      \SystemRoot\system32\drivers\aswStm.sys
      \SystemRoot\system32\DRIVERS\lltdio.sys
      \SystemRoot\system32\DRIVERS\nwifi.sys
      \SystemRoot\system32\DRIVERS\ndisuio.sys
      \SystemRoot\system32\DRIVERS\rspndr.sys
      \SystemRoot\system32\DRIVERS\vmnetuserif.sys
      \??\C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys
      \SystemRoot\system32\drivers\HTTP.sys
      \SystemRoot\system32\DRIVERS\bowser.sys
      \SystemRoot\System32\drivers\mpsdrv.sys
      \SystemRoot\system32\DRIVERS\mrxsmb.sys
      \SystemRoot\system32\DRIVERS\mrxsmb10.sys
      \SystemRoot\system32\DRIVERS\mrxsmb20.sys
      \SystemRoot\system32\DRIVERS\vmx86.sys
      \SystemRoot\system32\DRIVERS\hcmon.sys
      \SystemRoot\system32\DRIVERS\IntelHaxm.sys
      \SystemRoot\system32\drivers\peauth.sys
      \SystemRoot\System32\DRIVERS\srvnet.sys
      \SystemRoot\System32\drivers\tcpipreg.sys
      \SystemRoot\SysWOW64\drivers\vstor2-mntapi20-shared.sys
      \SystemRoot\System32\DRIVERS\srv2.sys
      \SystemRoot\System32\DRIVERS\srv.sys
      \??\C:\Windows\system32\drivers\mbamchameleon.sys
      \??\C:\Windows\system32\drivers\536661C2.sys
      \Windows\System32\ntdll.dll
      \Windows\System32\smss.exe
      \Windows\System32\apisetschema.dll
      \Windows\System32\autochk.exe
      \Windows\System32\advapi32.dll
      \Windows\System32\comdlg32.dll
      \Windows\System32\sechost.dll
      \Windows\System32\ole32.dll
      \Windows\System32\usp10.dll
      \Windows\System32\ws2_32.dll
      \Windows\System32\msvcrt.dll
      \Windows\System32\lpk.dll
      \Windows\System32\rpcrt4.dll
      \Windows\System32\Wldap32.dll
      \Windows\System32\difxapi.dll
      \Windows\System32\nsi.dll
      \Windows\System32\imagehlp.dll
      \Windows\System32\user32.dll
      \Windows\System32\normaliz.dll
      \Windows\System32\psapi.dll
      \Windows\System32\kernel32.dll
      \Windows\System32\clbcatq.dll
      \Windows\System32\shlwapi.dll
      \Windows\System32\imm32.dll
      \Windows\System32\oleaut32.dll
      \Windows\System32\wininet.dll
      \Windows\System32\setupapi.dll
      \Windows\System32\iertutil.dll
      \Windows\System32\gdi32.dll
      \Windows\System32\msctf.dll
      \Windows\System32\shell32.dll
      \Windows\System32\urlmon.dll
      \Windows\System32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
      \Windows\System32\devobj.dll
      \Windows\System32\api-ms-win-downlevel-user32-l1-1-0.dll
      \Windows\System32\api-ms-win-downlevel-advapi32-l1-1-0.dll
      \Windows\System32\KernelBase.dll
      \Windows\System32\api-ms-win-downlevel-normaliz-l1-1-0.dll
      \Windows\System32\wintrust.dll
      \Windows\System32\cfgmgr32.dll
      \Windows\System32\crypt32.dll
      \Windows\System32\comctl32.dll
      \Windows\System32\userenv.dll
      \Windows\System32\api-ms-win-downlevel-ole32-l1-1-0.dll
      \Windows\System32\api-ms-win-downlevel-version-l1-1-0.dll
      \Windows\System32\msasn1.dll
      \Windows\System32\profapi.dll
      \Windows\SysWOW64\normaliz.dll
      ----------- End -----------
      Done!
      
      
      Scan started
      Database versions:
        main:    v2018.02.18.05
        rootkit: v2018.01.23.01
      
      
      <<<2>>>
      Physical Sector Size: 512
      Drive: 0, DevicePointer: 0xfffffa800cbc0060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xfffffa800cbc0b90, DeviceName: Unknown, DriverName: \Driver\partmgr\
      DevicePointer: 0xfffffa800cbc0060, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      DevicePointer: 0xfffffa800a75c870, DeviceName: Unknown, DriverName: \Driver\stdcfltn\
      DevicePointer: 0xfffffa800a75dc50, DeviceName: Unknown, DriverName: \Driver\iaStorF\
      DevicePointer: 0xfffffa800968f9c0, DeviceName: \Device\0000008c\, DriverName: \Driver\iaStorA\
      ------------ End ----------
      Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      Upper DeviceData: 0x0, 0x0, 0x0
      Lower DeviceData: 0x0, 0x0, 0x0
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      <<<2>>>
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
      Done!
      Drive 0
      This is a System drive
      Scanning MBR on drive 0...
      Inspecting partition table:
      This drive is a GPT Drive.
      MBR Signature: 55AA
      Disk Signature: EA925576
      
      
      GPT Protective MBR Partition information:
      
      
          Partition 0 type is EFI-GPT (0xee)
          Partition is NOT ACTIVE.
          Partition starts at LBA: 1  Numsec = 4294967295
      
      
          Partition 1 type is Empty (0x0)
          Partition is NOT ACTIVE.
          Partition starts at LBA: 0  Numsec = 0
      
      
          Partition 2 type is Empty (0x0)
          Partition is NOT ACTIVE.
          Partition starts at LBA: 0  Numsec = 0
      
      
          Partition 3 type is Empty (0x0)
          Partition is NOT ACTIVE.
          Partition starts at LBA: 0  Numsec = 0
      
      
      GPT Partition information:
      
      
          GPT Header Signature 4546492050415254
          GPT Header Revision 65536 Size 92 CRC 1705228909
          GPT Header CurrentLba = 1 BackupLba 976773167
          GPT Header FirstUsableLba 34  LastUsableLba 976773134
          GPT Header Guid 735088f-cb4d-46f7-bb9d-b6d1c4187f8
          GPT Header Contains 128 partition entries starting at LBA 2
          GPT Header Partition entry size = 128
      
      
          Backup GPT header Signature 4546492050415254
          Backup GPT header Revision 65536 Size 92 CRC 1705228909
          Backup GPT header CurrentLba = 976773167 BackupLba 1
          Backup GPT header FirstUsableLba 34  LastUsableLba 976773134
          Backup GPT header Guid 735088f-cb4d-46f7-bb9d-b6d1c4187f8
          Backup GPT header Contains 128 partition entries starting at LBA 976773135
          Backup GPT header Partition entry size = 128
      
      
          Partition 0 Type c12a7328-f81f-11d2-ba4b-0a0c93ec93b
          Partition ID 84c307bc-8780-4ce1-aeab-da44748fb0c0
          FirstLBA 2048  Last LBA 411647
          Attributes 0
          Partition Name                 EFI system partition
      
      
          GPT Partition 0 is bootable
          Partition 1 Type e3c9e316-b5c-4db8-817d-f92df0215ae
          Partition ID 150b3e2-2368-4df1-a3e3-62148ba6266f
          FirstLBA 411648  Last LBA 673791
          Attributes 0
          Partition Name         Microsoft reserved partition
      
      
          Partition 2 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
          Partition ID 520c280e-fd-4cf6-8110-299e15a1c45b
          FirstLBA 673792  Last LBA 441016319
          Attributes 0
          Partition Name                 Basic data partition
      
      
          Partition 3 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
          Partition ID 763f3772-fb8e-420c-9973-816d4218c629
          FirstLBA 441016320  Last LBA 451254271
          Attributes 0
          Partition Name                 Basic data partition
      
      
          Partition 4 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
          Partition ID 7fe2ad85-af59-40bd-b062-c6f48bba5f38
          FirstLBA 451256320  Last LBA 860854271
          Attributes 0
          Partition Name                 Basic data partition
      
      
          Partition 5 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
          Partition ID 9a8bbdd2-2daa-4895-8269-7d6724bdf0af
          FirstLBA 860856320  Last LBA 881334271
          Attributes 0
          Partition Name                 Basic data partition
      
      
          Partition 6 Type ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
          Partition ID 235733e0-23e7-4f9c-bbcc-24d342489e2
          FirstLBA 881336320  Last LBA 924342271
          Attributes 0
          Partition Name                 Basic data partition
      
      
          Partition 7 Type de94bba4-6d1-4d40-a16a-bfd5179d6ac
          Partition ID 41d37b25-8cd3-4ee0-b18b-a38a6f2b918
          FirstLBA 924344320  Last LBA 976773119
          Attributes 1
          Partition Name                 Basic data partition
      
      
      Disk Size: 500107862016 bytes
      Sector size: 512 bytes
      
      
      Done!
      Scan finished
      =======================================
      
      
      
      
      Removal queue found; removal started
      Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-i.mbam...
      Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR-0-r.mbam...
      Removal finished
      El archivo solicitado. Tampoco se muestra infección alguna.

      Lo que si quiero comentarte y no me he acordado es que el Windows Update hace mucho tiempo que no me funciona (1 año aprox.). Intente repararlo de muchas formas pero no he tenido éxito, siempre muestra lo siguiente:



      Sino reinicio, puedo ir prologando dicho reinicio hasta que en un tiempo determinado me obliga a reiniciar si o si y no puedo evitarlo/cancelar dicho reinicio (barra de 15 min. antes del reinicio forzado). Aparece sin aviso y solo me deja 15 min., intente desactivar la GPO que me fuerza el reinicio pero ya estando desactivada sigue igual.
      Tanto como si reinicio forzado por el sistema como cuando yo quiera, en ambos casos sigue apareciendo el mismo mensaje mostrado en la anterior imagen y nunca se aplican las actualizaciones.

      Por dicho motivo, de vez en cuando al equipo le paso el WSUS Offline para intentar tenerlo actualizado.


      Gracias por todo compi .
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.