Aplicacion desconocida, cpu 100%

Hola compañeros. Encontré una misterioso aplicación que no he encontrado ninguna información referente a el ,Se me a instalado en archivos de programa y cuando no hago nada me sube la cpu al 100% . El programa se llama afdcagd os paso luna imagen Esta en una carpeta intel y yo no tengo intel sino amd ok.

Puede ser una paranoia mía ok pero la he guardado en un rar y asta que no sepa que es, no la vuelvo a reinstalar. Gracias por vuestro tiempo.

Hola @albert

No es paranoia, es una infección.

Lo que guardaste en el .rar lo eliminas.

Luego realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • Cuando lo instales destilda las casillas para no permitir la instalación de CcleanerBrowser.
  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes

  • No olvides actualizarlo.
  • Lee detenidamente su Manual
  • Realiza un Análisis Personalizado marcando todas las unidades
  • Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
  • Reinicias el Sistema.
  • En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

Hola de nuevo. E echo lo que me pediste ok , algún falso positivo como mipony y driver booster se me loan cargado pero ya estoy acostumbrado jiiji. Aqui los reporter

Adwcleaner,

Deleted       C:\Program Files (x86)\BlueSprig
Deleted       C:\Program Files (x86)\GreenTree Applications
Deleted       C:\Program Files (x86)\mipony
Deleted       C:\ProgramData\BlueSprig
Deleted       C:\ProgramData\IOBIT\Driver Booster
Deleted       C:\ProgramData\IObit\Advanced SystemCare
Deleted       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion
Deleted       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ytd video downloader
Deleted       C:\ProgramData\ytd video downloader
Deleted       C:\Users\alber\AppData\LocalLow\IObit\Advanced SystemCare
Deleted       C:\Users\alber\AppData\Local\Lavasoft\WEBCOMPANION.EXE_URL_MRPQ523XMEO0CM2M0N5VJ25Z3NZKGEP4
Deleted       C:\Users\alber\AppData\Roaming\IOBIT\Driver Booster
Deleted       C:\Users\alber\AppData\Roaming\IObit\Advanced SystemCare
Deleted       C:\Users\alber\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\mipony
Deleted       C:\Users\alber\AppData\Roaming\mipony

***** [ Files ] *****

Deleted       C:\Users\alber\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MiPony.lnk

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\DRIVER BOOSTER SKIPUAC (ALBER)

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKCU\Software\Mozilla\NativeMessagingHosts\ru.mail.go.ext_info_host
Deleted       HKCU\Software\{DAF8B7E5-449D-4180-8281-10E536E597F2}
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{61625F14-5407-4F21-8882-BF83C950BD69} 
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{61625F14-5407-4F21-8882-BF83C950BD69} 
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DRIVER BOOSTER SKIPUAC (ALBER)
Deleted       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MiPony.exe
Deleted       HKLM\Software\Classes\.bgl
Deleted       HKLM\Software\Classes\.bof
Deleted       HKLM\Software\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
Deleted       HKLM\Software\Classes\AppID\{B16632F1-24E0-4D99-A68D-70BFB6447C48}
Deleted       HKLM\Software\Classes\BabyDict
Deleted       HKLM\Software\Classes\BabyGloss
Deleted       HKLM\Software\Classes\BabyOptFile
Deleted       HKLM\Software\Classes\CLSID\{64B00DAC-870D-4E6A-8D34-3A6E3E427A30}
Deleted       HKLM\Software\Classes\CLSID\{947217BD-E967-400A-B14A-BA851A8EDCBB}
Deleted       HKLM\Software\Classes\Interface\{5F339F0B-716F-408F-A627-DEEB5DEB4020}
Deleted       HKLM\Software\Classes\Interface\{928FE5E7-D557-46B7-8AF6-17ACCE1FB4ED}
Deleted       HKLM\Software\Classes\Prod.cap
Deleted       HKLM\Software\Classes\TypeLib\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Deleted       HKLM\Software\Classes\TypeLib\{F310F027-15CB-4A7F-B10D-3A4AFB5013A5}
Deleted       HKLM\Software\Classes\mipony
Deleted       HKLM\Software\Classes\mpybrowser
Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|Babylon Client
Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved|{947217BD-E967-400A-B14A-BA851A8EDCBB}
Deleted       HKLM\Software\Wow6432Node\\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
Deleted       HKLM\Software\Wow6432Node\\Classes\AppID\{B16632F1-24E0-4D99-A68D-70BFB6447C48}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{6AC0BB10-C922-45E2-857D-2A368FE749E5}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{947217BD-E967-400A-B14A-BA851A8EDCBB}
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{5F339F0B-716F-408F-A627-DEEB5DEB4020}
Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{928FE5E7-D557-46B7-8AF6-17ACCE1FB4ED}
Deleted       HKLM\Software\Wow6432Node\\Classes\TypeLib\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Deleted       HKLM\Software\Wow6432Node\\Classes\TypeLib\{F310F027-15CB-4A7F-B10D-3A4AFB5013A5}
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\App Paths\MiPony.exe
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Run|Babylon Client
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved|{947217BD-E967-400A-B14A-BA851A8EDCBB}
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\Driver Booster_is1
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\MiPony
Deleted       HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}
Deleted       HKLM\Software\Wow6432Node\{DAF8B7E5-449D-4180-8281-10E536E597F2}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock
~ ZHPCleaner v2019.10.14.149 by Nicolas Coolman (2019/10/14)
~ Run by alber (Administrator)  (18/10/2019 06:13:18)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\alber\OneDrive\Escritorio\ZHPCleaner (S).txt
~ Quarantine : C:\Users\alber\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : 
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 18362)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (24)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (9)
ENCONTRADOS carpeta: C:\Users\alber\AppData\Roaming\Mozilla\Firefox\Profiles\bqyheko1.default\Extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi    =>Adware.UserStyles
ENCONTRADOS carpeta: C:\Users\alber\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\µTorrent.lnk  [Bad : C:\Users\alber\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
ENCONTRADOS archivo: C:\Users\alber\AppData\Roaming\Babylon  =>Adware.Babylon
ENCONTRADOS carpeta: C:\Users\alber\AppData\Roaming\uTorrent\uTorrent.exe [BitTorrent Inc. - µTorrent]  =>BitTorrent (P2P)
ENCONTRADOS archivo: C:\Users\alber\AppData\Local\Babylon  =>Adware.Babylon
ENCONTRADOS archivo: C:\Users\alber\AppData\LocalLow\IObit\Advanced SystemCare  =>SUP.Optional.AdvancedSystemCare
ENCONTRADOS archivo: C:\Users\alber\AppData\Roaming\IOBIT\Driver Booster  =>.SUP.Energize
ENCONTRADOS archivo: C:\Users\alber\AppData\Roaming\IObit\Advanced SystemCare  =>SUP.Optional.AdvancedSystemCare
ENCONTRADOS archivo: C:\ProgramData\IOBIT\Driver Booster  =>.SUP.Energize


---\\  Registro ( Claves, Valores, Datos) (8)
ENCONTRADOS clave: HKLM\SOFTWARE\Wow6432Node\IObit\Driver Booster [AdditionalScan 284]  =>.SUP.DriverBoost
ENCONTRADOS clave: HKLM\SOFTWARE\Wow6432Node\POLICIES\GOOGLE\CHROME [AdditionalScan 390]  =>Adware.Yontoo
ENCONTRADOS clave: HKLM\SOFTWARE\POLICIES\GOOGLE\CHROME [AdditionalScan 557]  =>Adware.Yontoo
ENCONTRADOS clave: HKEY_USERS\S-1-5-21-4044603304-3046036407-3438730854-1001\SOFTWARE\GreenTree Applications []  =>.SUP.GreenTreeApp
ENCONTRADOS clave: HKCU\Software\GreenTree Applications []  =>.SUP.GreenTreeApp
ENCONTRADOS clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
ENCONTRADOS clave: [X64] HKLM\SOFTWARE\Classes\AppID\BabylonHelper.EXE []  =>Adware.Babylon
ENCONTRADOS clave: [X64] HKLM\SOFTWARE\Wow6432Node\Classes\AppID\BabylonHelper.EXE []  =>Adware.Babylon


---\\  Resumen de elementos en su estación de trabajo (8)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>Adware.UserStyles
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/03/03/adware-babylon/  =>Adware.Babylon
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>SUP.Optional.AdvancedSystemCare
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Energize
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.DriverBoost
https://nicolascoolman.eu/2017/09/19/adware-yontoo/  =>Adware.Yontoo
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.GreenTreeApp


---\\ Resultado de la reparación.
~ ninguna reparación hecha
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 112932
~ Items encontrado : 26
~ artículos cancelados : 0
~ Items opciones : 6/13
~ Ahorro de espacio (bytes) : 0


~ End of search in 00h13mn41s
Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 18/10/19
Hora del análisis: 5:32
Archivo de registro: ef414a6e-f157-11e9-bd44-2c56dc7ad19f.json

-Información del software-
Versión: 3.8.3.2965
Versión de los componentes: 1.0.629
Versión del paquete de actualización: 1.0.12955
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 18362.418)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-3GJI9BD\alber

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 296429
Amenazas detectadas: 21
Amenazas en cuarentena: 21
Tiempo transcurrido: 1 min, 54 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
PUP.Optional.AdvancedSystemCare, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\ASC10_PerformanceMonitor, En cuarentena, [3819], [380341],1.0.12955
PUP.Optional.AdvancedSystemCare, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F4CE6CCB-2A8D-4D07-9BFA-17428BFCB193}, En cuarentena, [3819], [380341],1.0.12955
PUP.Optional.AdvancedSystemCare, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{F4CE6CCB-2A8D-4D07-9BFA-17428BFCB193}, En cuarentena, [3819], [380341],1.0.12955

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
Adware.Elex.ShrtCln, C:\USERS\ALBER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\USERS\ALBER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, En cuarentena, [279], [454693],1.0.12955

Archivo: 16
PUP.Optional.AdvancedSystemCare, C:\WINDOWS\SYSTEM32\TASKS\ASC10_PerformanceMonitor, En cuarentena, [3819], [380341],1.0.12955
RiskWare.DontStealOurSoftware, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, [5288], [353142],1.0.12955
RiskWare.DontStealOurSoftware, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, [5288], [543391],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000418.ldb, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000421.ldb, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000424.ldb, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000426.log, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000427.ldb, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\Users\alber\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, En cuarentena, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\USERS\ALBER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [279], [454721],1.0.12955
Adware.Elex.ShrtCln, C:\USERS\ALBER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, [279], [454693],1.0.12955

Sector físico: 0
(No hay elementos maliciosos detectados)

Bueno alguna cosilla si abia , tado parece ir vien , si no hay mas ya podriamos dar por cerado ok , y muchisimas gracias…

Hola @albert

Habia varias cositas…:rofl::rofl:

No se apure compañero, que aun no esta todo ok.

Al ejecutar ZHPCleaner no eliminaste lo encontrado solo hiciste un scan, debes seguir los pasos de Limpieza del Manual, luego de ello si necesitamos ese reporte.


Posteriormente realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. [size=1] >> Como saber si mi Windows es de 32 o 64 bits.?[/size]

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Creare dos respuestas ya que no me cave todo ok

~ ZHPCleaner v2019.10.18.1509 by Nicolas Coolman (2019/10/18)
~ Run by alber (Administrator)  (18/10/2019 21:00:22)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\alber\OneDrive\Escritorio\ZHPCleaner (S).txt
~ Quarantine : C:\Users\alber\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : 
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 18362)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (24)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (8)
ENCONTRADOS carpeta: C:\Users\alber\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\µTorrent.lnk  [Bad : C:\Users\alber\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
ENCONTRADOS archivo: C:\Users\alber\AppData\Roaming\Babylon  =>Adware.Babylon
ENCONTRADOS carpeta: C:\Users\alber\AppData\Roaming\uTorrent\uTorrent.exe [BitTorrent Inc. - µTorrent]  =>BitTorrent (P2P)
ENCONTRADOS carpeta: C:\Users\alber\AppData\Local\Temp\DeltaTB.exe    =>.SUP.DeltaSearch
ENCONTRADOS archivo: C:\Users\alber\AppData\Local\Babylon  =>Adware.Babylon
ENCONTRADOS archivo: C:\Users\alber\AppData\LocalLow\IObit\Advanced SystemCare  =>SUP.Optional.AdvancedSystemCare
ENCONTRADOS archivo: C:\Users\alber\AppData\Roaming\IOBIT\Driver Booster  =>.SUP.Energize
ENCONTRADOS archivo: C:\ProgramData\IOBIT\Driver Booster  =>.SUP.Energize


---\\  Registro ( Claves, Valores, Datos) (3)
ENCONTRADOS clave: HKLM\SOFTWARE\Wow6432Node\IObit\Driver Booster [AdditionalScan 284]  =>.SUP.DriverBoost
ENCONTRADOS clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
ENCONTRADOS clave: [X64] HKLM\SOFTWARE\Classes\Prod.cap []  =>PUP.Optional.ClaroSearch


---\\  Resumen de elementos en su estación de trabajo (7)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/03/03/adware-babylon/  =>Adware.Babylon
https://nicolascoolman.eu/2017/09/29/sup-deltasearch/  =>.SUP.DeltaSearch
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>SUP.Optional.AdvancedSystemCare
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Energize
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.DriverBoost
https://www.nicolascoolman.com/fr/pup-clarosearch/  =>PUP.Optional.ClaroSearch


---\\ Resultado de la reparación.
~ ninguna reparación hecha
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 111938
~ Items encontrado : 19
~ artículos cancelados : 0
~ Items opciones : 6/13
~ Ahorro de espacio (bytes) : 0


~ End of search in 00h12mn37s

---\\  Reporte (3)
ZHPCleaner-[R]-18102019-07_08_33.txt


~ ZHPCleaner v2019.10.18.1509 by Nicolas Coolman (2019/10/18)
~ Run by alber (Administrator)  (18/10/2019 21:14:07)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Reparar
~ Report : C:\Users\alber\OneDrive\Escritorio\ZHPCleaner (R).txt
~ Quarantine : C:\Users\alber\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 18362)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (24)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (7)
MOVIDO carpeta: C:\Users\alber\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\µTorrent.lnk  [Bad : C:\Users\alber\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
MOVIDO carpeta: C:\Users\alber\AppData\Local\Temp\DeltaTB.exe    =>.SUP.DeltaSearch
MOVIDO archivo: C:\Users\alber\AppData\Roaming\Babylon  =>Adware.Babylon
MOVIDO archivo: C:\Users\alber\AppData\Local\Babylon  =>Adware.Babylon
MOVIDO archivo: C:\Users\alber\AppData\LocalLow\IObit\Advanced SystemCare  =>SUP.Optional.AdvancedSystemCare
MOVIDO archivo: C:\Users\alber\AppData\Roaming\IOBIT\Driver Booster  =>.SUP.Energize
MOVIDO archivo: C:\ProgramData\IOBIT\Driver Booster  =>.SUP.Energize


---\\  Registro ( Claves, Valores, Datos) (3)
BORRADOS clave*: HKLM\SOFTWARE\Wow6432Node\IObit\Driver Booster [AdditionalScan 284]  =>.SUP.DriverBoost
BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
BORRADOS clave*: [X64] HKLM\SOFTWARE\Classes\Prod.cap []  =>PUP.Optional.ClaroSearch


---\\  Resumen de elementos en su estación de trabajo (7)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/09/29/sup-deltasearch/  =>.SUP.DeltaSearch
https://nicolascoolman.eu/2017/03/03/adware-babylon/  =>Adware.Babylon
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>SUP.Optional.AdvancedSystemCare
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Energize
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.DriverBoost
https://www.nicolascoolman.com/fr/pup-clarosearch/  =>PUP.Optional.ClaroSearch


---\\ Limpieza adicional. (3)
~ Clave de registro Tracing borrados (3)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 1843
~ Items encontrado : 0
~ artículos cancelados : 0
~ Items opciones : 6/13
~ Ahorro de espacio (bytes) : 0


~ End of clean in 00h00mn30s

---\\  Reporte (4)
ZHPCleaner-[R]-18102019-07_08_33.txt
ZHPCleaner-[S]-18102019-06_26_59.txt

Addition.txt (56,4 KB) FRST.txt (105,6 KB)

No puede incorporar los informes ya que son enormes , no se si así lo podréis mirar?, no se como hacerlo ya me dirás algo , gracias compis.

Hola @albert

Como lo hiciste esta perfecto.


Ejecutaste FRST desde un lugar incorrecto:

  • Running from C:\Users\alber\OneDrive\Escritorio

No debe estar en Onedrive, Corta el ejecutable y pegalo en tu escritorio de C:\ <<< Esto es Muy Importante.


Desinstala con Revo Uninstaller en su Modo Avanzado:

  • GridinSoft Anti-Malware (Si se encontrara), Babylon Pro NG

Manual de Revo Uninstaller.

Ademas de recomendarte desinstales todos los programas de Iobit, hace tiempo que no son muy confiables.


Aun hay restos de la infección ademas de algunas entradas obsoletas, por lo cual realiza lo siguiente:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:


Start
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-4044603304-3046036407-3438730854-1001\...\MountPoints2: {f89fbfcf-e894-11e9-9c2d-2c56dc7ad19f} - "F:\setup_vmb_lite.exe" /checkApplicationPresence
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {4A3CF116-B173-40A8-A086-D63E1D1E9A37} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
C:\Program Files\GridinSoft Anti-Malware
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF Extension: (No Name) - C:\Program Files\Mozilla Firefox\browser\features\{97745D00-02AA-4FE4-9F1E-2AD41FCD3B49}.xpi [2019-06-01] [not signed]
FF Plugin: @java.com/DTPlugin,version=11.221.2 -> C:\Program Files\Java\jre1.8.0_221\bin\dtplugin\npDeployJava1.dll [No File]
FF Plugin: @java.com/JavaPlugin,version=11.221.2 -> C:\Program Files\Java\jre1.8.0_221\bin\plugin2\npjp2.dll [No File]
FF Plugin: @videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
S3 GridinSoftInetSecurityDriver; C:\WINDOWS\system32\DRIVERS\gsInetSecurity.sys [107784 2019-09-19] (GridinSoft, LLC -> GridinSoft LLC)
S3 TrojanKillerDriver; C:\WINDOWS\System32\DRIVERS\gtkdrv.sys [38216 2019-09-19] (GridinSoft, LLC -> GridinSoft LLC)
S3 csravrcp; \SystemRoot\System32\drivers\csravrcp.sys [X]
S3 CsrBthAudioHF; \SystemRoot\System32\drivers\CsrBthAudioHF.sys [X]
S3 CsrBtPort; \SystemRoot\system32\DRIVERS\CsrBtPort.sys [X]
S3 csrhfgcc; \SystemRoot\System32\drivers\csrhfgcc.sys [X]
S3 csrpan; \SystemRoot\System32\drivers\csrpan.sys [X]
S3 csrserial; \SystemRoot\system32\DRIVERS\csrserial.sys [X]
S3 csrusb; \SystemRoot\System32\Drivers\csrusb.sys [X]
S3 csr_bthav; \SystemRoot\system32\drivers\csrbthav.sys [X]
2019-09-24 19:53 - 2019-09-24 19:53 - 000000000 ____D C:\ProgramData\mail.ru
2019-09-24 19:30 - 2019-10-18 12:46 - 000000000 ____D C:\ProgramData\Babylon
2019-09-24 19:30 - 2019-09-24 19:30 - 000000000 ____D C:\Program Files (x86)\Babylon
2019-09-24 19:29 - 2019-09-24 19:30 - 000000000 ____D C:\Users\alber\AppData\Roaming\Babylon Software
2019-09-24 17:02 - 2019-09-24 20:02 - 000003324 _____ C:\WINDOWS\system32\Tasks\GridinSoft Anti-Malware
2019-09-24 16:51 - 2019-09-24 20:06 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2019-09-24 16:51 - 2019-09-24 16:51 - 000000000 ____D C:\ProgramData\GridinSoft
2019-10-18 05:44 - 2019-07-15 20:46 - 000000000 ____D C:\Users\alber\AppData\Local\Lavasoft
2019-10-18 05:44 - 2019-07-15 20:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2019-09-24 19:30 - 2019-05-16 19:34 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Babylon
2019-09-19 11:56 - 2019-03-02 14:14 - 000107784 _____ (GridinSoft LLC) C:\WINDOWS\system32\Drivers\gsInetSecurity.sys
2019-09-19 11:56 - 2019-03-02 14:14 - 000038216 _____ (GridinSoft LLC) C:\WINDOWS\system32\Drivers\gtkdrv.sys
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Babylon\Babylon-Pro\Plugins\[email protected]
FF Extension: (Babylon Translation Activation) - C:\Program Files (x86)\Babylon\Babylon-Pro\Plugins\[email protected] [2019-09-24] [Legacy] [not signed]
ShellIconOverlayIdentifiers: [OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ContextMenuHandlers1: [BabylonDocTrans] -> {947217BD-E967-400A-B14A-BA851A8EDCBB} =>  -> No File
ContextMenuHandlers1: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> No File
ContextMenuHandlers2: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> No File
ContextMenuHandlers4: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> No File
ContextMenuHandlers6: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> No File
HKLM\...\Drivers32: [VIDC.RTV1] => C:\WINDOWS\system32\rtvcvfw64.dll [246272 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [VIDC.FPS1] => C:\WINDOWS\system32\frapsv64.dll [71680 2013-02-26] (Beepa P/L) [File not signed]
HKLM\...\Drivers32: [VIDC.FICV] => C:\WINDOWS\system32\ficvdec_x64.dll [652288 2018-05-16] () [File not signed]
HKLM\...\Drivers32: [VIDC.RTV1] => C:\Windows\SysWOW64\rtvcvfw32.dll [247296 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [VIDC.FPS1] => C:\Windows\SysWOW64\frapsvid.dll [65536 2013-02-26] (Beepa P/L) [File not signed]
HKLM\...\Drivers32: [vidc.tscc] => C:\Windows\SysWOW64\tsccvid.dll [107864 2009-08-19] (TechSmith Corporation -> TechSmith Corporation)
HKLM\...\Drivers32: [VIDC.FICV] => C:\Windows\SysWOW64\ficvdec_x86.dll [641024 2018-05-16] () [File not signed]
FirewallRules: [TCP Query User{2670B3AF-F196-426E-B9BD-CE008058DF55}C:\program files (x86)\java\jre1.8.0_221\bin\javaw.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_221\bin\javaw.exe No File
FirewallRules: [UDP Query User{031D78C1-2AEF-4B0A-A8C8-0B5EEF210883}C:\program files (x86)\java\jre1.8.0_221\bin\javaw.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_221\bin\javaw.exe No File
Folder: C:\ProgramData\Intel\Wireless\3c19083

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .

Salu2.

Hola compi. FRST desde un lugar incorrecto , onedrive lleva su coña , cuando instale windows 10 me dio la posibilidad de instarlo y marca que NO , y no esta, pero si esta :rofl:. Pero el programa esta en el escritorio te lo aseguro. Referente a GridinSoft Anti-Malware lo encontré con everything , es una carpeta vacía y lo otro es GridinSoft Anti-Malware.xBAT , me lo cargo?. A lo de babylon ya lo se , mal vicho :space_invader: pero me iva bien para traducir sin tener que abrir un buscador y su traductor que es un latazo…ya me lo e cargado. Gracias por el revo uninstaller ya lo he eliminado el de iobit uninstaler , pero me faltaría un buen programa para los drivers y gratis para acabar con todo lo de iobit. Referente al reporter no es (Fixlog.txt). si no fixlogm, imaginó que tanto da pero es lo único que me ha salido. Reporter Fixlog.txt (23,6 KB)

De nuevo gracias y buen fin de semana.

Hola @albert

Tu Sistema según ve la herramienta FRST efectivamente es:

  • Platform: Windows 10 Pro Version 1903

Entonces tienes tu escritorio dentro de Ondrive, menudo lio.:thinking:

Ran by alber (administrator) on DESKTOP-3GJI9BD (18-10-2019 21:34:15) Running from C:\Users\alber\ OneDrive\Escritorio

Si no fue eliminado con FRST, lo eliminas manualmente.

No es necesario ningún programa para drivers, siempre es mejor ir a la pagina del Fabricante.

Con Revo Uninstaller puedes desinstalar todo lo de Iobit.

Pues yo lo veo como Fixlog, pero no importa el nombre lo importante que todo se elimino correctamente.


Para eliminar las herramientas utilizadas:

Descargas >> Delfix, a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Nos comentas si todo esta en orden para dar por Solucionado el tema.

Salu2.

Hola compi. Lo primero gracias :blush: , y me gustaría dar un dato muy curioso , en una de las desastrosas actualizaciones de Windows algunos juegos me estaban provocando un lag terrible incluso youtubers que sigo lo reportan en sus videos y puede que tu hayas oído algo? , pues después de esto —se acabo el lag-- desde que nos cargamos la carpeta intel y de la desinfección, los tres juegos afectados corren perfectamente con unos fps altísimos , dudo que esto sea casualidad. Muchas gracias , no por nada llevó muchísimos años acudiendo a vosotros y nunca se me defraudo, un fuerte abrazo.:clap::clap::clap:

Hola @albert

Gracias a ti por confiar en Infospyware!!!

La verdad que se leen algunos reportes pero soy 0 gamer :relaxed:

Que bueno que se acabo el lag de tu equipo :clap:

La carpeta Intel y una carpeta denominada mail.ru que eliminamos con FRST, pertenecen a una infección que provoca re-direccionamiento y consumo de internet, ademas de mucha basura de entradas obsoletas que quitamos

:clap::clap::clap: Me alegra muchísimo.!!


Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.

1 me gusta