Trojan:win32 tiggre!rfn

¡Hola Luis!

Soy Saylis, Asesora Independiente y me complacería mucho poder ayudarle con su problema. Vamos a trabajar en conjunto y lo resolveremos.

La descripción de este fichero se encuentra documentada por Microsoft en el siguiente enlace (disponible en Inglés): https://www.microsoft.com/en-us/wdsi/threats/ma...

Puede usar estas herramientas gratuitas para la detección y eliminación de virus, malware, PUP, adware, étc.

AdwCleaner:

https://www.infospyware.com/antispyware/adwclea...

Malwarebytes:

https://www.infospyware.com/antivirus/malwareby...

HitmanPro:

https://www.infospyware.com/antimalware/hitmanpro/

Safety Scanner:

https://docs.microsoft.com/es-es/windows/securi...

________________________________________________________

Nota: Estos son sitios web que no son de Microsoft. Las páginas parecen estar proporcionando información precisa y segura. Tenga cuidado con los anuncios en los sitios que pueden anunciar productos clasificados con frecuencia como PUP (Productos potencialmente no deseados). Investigue a fondo cualquier producto anunciado en los sitios antes de decidir descargarlo e instalarlo.

No obstante, si ya Windows Defender lo detectó usted tiene la opción de poner en Cuarentena, Quitar o Permitir este fichero. Si selecciona permitir, estaría aceptando el riesgo de ejecutar todo lo concerniente a este fichero.

Ahora bien, conociendo un poco más a Windows Defender...

Varias cosas a tener en cuenta: Si la amenaza está en cuarentena, el virus está desarmado. El archivo permanece aislado por el tiempo que le haya definido (si no define ningún tiempo creo que son 30 o 40 días, no recuerdo exactamente el dato).

En este tiempo puede volver a restaurarlo si cree que no es un virus, porque en ocasiones suceden falsos positivos y el antivirus puede reconocer como virus algo que no lo es, esto suele suceder cuando son programas de terceros que el Windows Defender no tenga en su base de datos.

Si usted cuenta con la versión de Windows 1903 o 1909, para estas versiones existen dos opciones:

1. Eliminar automáticamente según los días que ponga para ello:

• Puede especificar un período de retraso diferentes (en días) ejecutando este comando en PowerShell. Para ello:

1. Vaya al Administrador de tareas y abra la opción Archivo > Ejecutar nueva tarea.
2. En la opción Abrir escriba PowerShell y marque la casilla Crear esta tarea con privilegios administrativos. Oprima el botón Aceptar.
3. En la ventana PowerShell por favor, copie el siguiente comando tal cual se muestra:

Set-MpPreference-ScanPurgeItemsAfterDelay 6

* 6 es un número aleatorio, en este caso significa que 6 días después se borrará el registro de protección y todos los elementos de la carpeta de registro de Windows Defender.

2. Eliminar manualmente:

No obstante, en estas versiones, se puede borrar el historial de amenazas del registro de Windows Defender manualmente (en este momento), con el siguiente paso a paso

• Desactive la Protección en tiempo real.
• Deshabilite la protección en la Nube (Cloud protection).
• Elimine todos los archivos de la carpeta de Service en:

C:\ProgramData\Microsoft\Windows Defender\Scan\History\Service

• Vuelva a habilitar la Protección en tiempo real.
• Vuelva a habilitar la protección en la Nube.

Reciba un atento saludo. ¡Tenga un bonito día!

Sally C.S

"Si le da miedo preguntar, se arriesga a no aprender."

¡Hola, Sally!:

Antes de nada, gracias a ti por tus aportes y soluciones que ofreces en la comunidad. Hace mucha falta gente como tu por aquí para que los usuarios puedan recibir buenas ayudas.

También darte las gracias por el aporte que ofreciste sobre cómo descargar las ediciones académicas de Windows 10, porque era un dato que desconocía totalmente. Al final todos aprendemos de todos y eso es lo interesante de esta comunidad.

Al igual que tu también me comentas, tengo varias cosas que probar con respecto a estas cuestiones que estamos hablando y otras relacionadas con la seguridad, pero mi equipo tan poco es el más veloz del mundo y trabajar con una máquina virtual a veces se me hace un poco insufrible. A ver si puedo montarme un segundo equipo para hacer pruebas sin perdidas de rendimiento.

Si llegas a realizar alguna prueba sobre este tema que estamos debatiendo por aquí, estoy interesado en leer tu experiencia. Si buscas información en la red sobre el archivo usmt.ppkg, encontrarás información de interés aunque todas bastante parecidas. Por ejemplo, leyendo estos dos enlaces se indica el tema de cómo eliminar el archivo desde Opciones Avanzadas -> Símbolo del Sistema (Prompt (cmd)). Bueno, si te fijas en uno de los comentarios del primer enlace, lo que hacen es moverlo a un pendrive para tener una copia por si acaso y luego lo eliminan por si Windows no iniciara:

Remove the file c:\Recovery\Customizations\usmt.ppkg when it is locked by System?

How to force the deletion of a locked file that has no locking handle on Windows? <- En este segundo enlace lo que se explica es cómo acceder a Opciones Avanzadas -> Símbolo del Sistema y eliminar un archivo o carpeta bloqueado (no exactamente el archivo usmt.ppkg). Pero bueno, el método es similar. También hay una última respuesta en donde se habla de la posibilidad de utilizar el software MoveFile para desbloquear archivos bloqueados desde el propio Windows, pero no se que tal resultará.

Lamentablemente yo no puedo hacer pruebas sobre Recovery, porque mi equipo de marca un Samsung, también traía una carpeta similar de restauración y opté por formatear el equipo y eliminar todo lo relacionado con el fabricante nada más adqurirlo.

Un saludo y gracias por todo.

Hola de nuevo, Luis MarioQV2:

Como le indiqué anteriormente esa carpeta Recovery yo no la tocaría para nada. Los archivos de esa carpeta no deberían estar en uso, simplemente están ahí por si en algún momento opta por restaurar su equipo. Si la misma amenaza no le aparece en otra ubicación del equipo, puede quedarse tranquilo.

De cualquier forma, tiene dos opciones que son las siguientes:

1) Mantener esa carpeta Recovery y excluirla del análisis del antivirus. Así el antivirus no volverá a molestarle advirtiéndole sobre ese archivo.

2) Si no va utilizar el modo de restauración ofrecido por el fabricante del equipo (Acer), puede eliminar esa carpeta o ese archivo de la amenaza desde Símbolo del sistema (cmd). Supongo que para ello tendría que hacerlo desde el Modo Seguro o bien desde el típico menú de Opciones Avanzadas que tienen los equipos de marca (hay que pulsar una tecla al iniciar el equipo para acceder a este menú). Ojo, porque algún usuario de ciertos modelos de equipos, he leido que al eliminar la carpeta Recovery, no podían acceder a Windows. No se en que casos se produce, pero se lo comento para que lo tenga en cuenta.

Un saludo.

Hola, Luis MarioQV2:

Ya hay un Hilo de discusión existente sobre ese mismo troyano:

No se ha quitado el virus con éxito ≈ Windows 10

Como indico en ese mismo Hilo de discusión, debe tener precaución y no eliminar ese archivo que nos indica tan a la ligera, porque podría quedarse sin la posibilidad de restaurar el sistema a su estado de fábrica.

Los archivos que se encuentran en Recovery no deberían estar activos en el sistema, y no debería eliminarlos a no ser que sea por una causa justificada, ya que podrían ser esenciales para la recuperación del equipo en caso de que tenga problemas graves. De hecho, es más posible que no pueda eliminarlos, si el sistema de recuperación se encuentra en un archivo de imagen o en un archivo de paquete.

El archivo usmt.ppkg en un sistema de recuperación, suele guardar la configuración de las aplicaciones de escritorio de Windows.

En muchas ocasiones, los equipos de marca (Lenovo, MSI, HP, etc.) suelen incluir de fábrica algún tipo de software que contiene adware (publicidad no deseada o engañosa). Los equipos Lenovo, por ejemplo, fueron acusados de incluir adware y software que recopilaba datos de sus clientes.

Un saludo.

"pude ver que usted cuenta con la última versión de Windows que es la 1903" no creo

Recuerdo que ayer estaba haciendo actualizaciones y me salia version 1803.

(tengo otro notebook que tiene mas caracteristicas en windows que este otro equipo).

despues de 7 actualizaciones en windows update, ise un examen completo al equipo que duro aproximadamente 2 horas, encontro este troyano, y seleccione quitar amenaza, y precione en iniciar acciones.

despues de eso me dio miedo conectar el wifi porque talves pasaba algo. 

se supone que windows defender lo eliminaria porque puse iniciar acciones (seleccione quitar amenaza).

cuando voy a historial de amemazas este troyano esta repitido 3 veces en cuarentena y permitido (estado:abandonado).

pero hoy ise el analisis y sigue estando la amenaza. 

Actualmente se estan realizando acciones, no estoy seguro de que windows defender lo elimine.

Pd: "Gracias a la imagen enviada en su respuesta anterior" que imagen?