Probable malware en Bios phenix modifica todos los archivos de Windows

Necesito ayuda para que me digáis como poder eliminar un malware en bíos que es indetectada por ninguna herramienta hasta ahora, os explico:

Parece ser que tengo el boot infectado de la bios y cada vez qu instalo limpio windows10 , mi sistema operativo para a estar en modo virtualizado, he deshabilitado muchas aplicaciones y deshabilitado opciones de virtualización desde administrados de dispositivos.

Las herramientas de seguridad utilizadas quedan inutilizadas con el tiempo, utilizando una herramienta antimalware una vez de Comodo , me neutralizó 2 archivos decriptor de la rama ransomware. Pero siempre todas las herramientas de seguridad finalmente me indican que no hay nada o en algún caso he podido neutralizar virus con Eset online Scaner. Siempre en la carpeta appdata\local\temp.

Mi pregunta es la siguiente. Que herramienta de limpieza de bios me recomendais para poder eliminar dicho malware? He usado Tdsskiller y 0, he usado gmer2 y es el único que si me detecta alteraciones pero dado que es un software antiguo pues no me fio mucho.

Otro software de Avast para bios si me detecta pero luego peta con pantallazo azul .

Os paso un informe de Farvar Recovery scan

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 22-12-2019
Ran by lobo (administrator) on LOBO (Acer Aspire 7540) (23-12-2019 22:39:51)
Running from C:\Users\lobo\Downloads
Loaded Profiles: lobo (Available Profiles: lobo)
Platform: Windows 10 Home Version 1909 18363.418 (X64) Language: Español (España, internacional)
Default browser: Edge
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

(AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Antivirus\aswidsagent.exe
(AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Antivirus\AVGSvc.exe
(AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Antivirus\AVGUI.exe
(AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Antivirus\AVGUI.exe
(AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\Antivirus\wsc_proxy.exe
(Google Inc -> Google Inc.) C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
(Microsoft Corporation) C:\Program Files\WindowsApps\Microsoft.WindowsStore_11811.1001.18.0_x64__8wekyb3d8bbwe\WinStore.App.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\msiexec.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\smartscreen.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\SystemSettingsAdminFlows.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.411_none_5f53d2d858cf8961\TiWorker.exe
(Microsoft Windows Hardware Compatibility Publisher -> AMD) C:\Windows\System32\atieclxx.exe
(Microsoft Windows Hardware Compatibility Publisher -> AMD) C:\Windows\System32\atiesrxx.exe
(Piriform Software Ltd -> Piriform Ltd) C:\Program Files\CCleaner\CCleaner64.exe

==================== Registry (Whitelisted) ===================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [AVGUI.exe] => C:\Program Files\AVG\Antivirus\AvLaunch.exe [316336 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
HKU\S-1-5-21-2225362386-2777678899-3998696106-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [24552064 2019-10-14] (Piriform Software Ltd -> Piriform Ltd)
HKU\S-1-5-21-2225362386-2777678899-3998696106-1001\...\MountPoints2: {68afd86c-24fa-11ea-8e90-806e6f6e6963} - "D:\setup.exe" 
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\79.0.3945.88\Installer\chrmstp.exe [2019-12-23] (Google LLC -> Google LLC)
BootExecute: autocheck autochk * avgBoot.exe /A:"C:" /A:"* STARTUP" /L:"3082" /heur:80 /RA:fix /pup /archives /IA:0 /KBD:1 /dir:"C:\Program Files\AVG\Antivirus"
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION

==================== Scheduled Tasks (Whitelisted) ============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

Task: {0A6449E3-0BA7-48CD-A235-F3DFE6859618} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [153168 2019-12-23] (Google Inc -> Google Inc.)
Task: {189A4A56-BDA5-48DD-8EB1-D9F32D2C4E04} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [608384 2019-10-14] (Piriform Software Ltd -> Piriform Software Ltd)
Task: {9F59AB80-B601-4832-A57F-5A1C358F03B0} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [153168 2019-12-23] (Google Inc -> Google Inc.)
Task: {C8E822A1-CB01-43A6-B81C-5B23F6E21755} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [1905072 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
Task: {C8F81FC9-9FBE-4C83-A815-28B525758C62} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe [3981232 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
Task: {EE4E9724-9CDD-4B33-8B3E-FBE5CD16A5C6} - System32\Tasks\Microsoft\Windows\RetailDemo\CleanupOfflineContent => {61f77d5e-afe9-400b-a5e6-e9e80fc8e601} C:\Windows\System32\RDXTaskFactory.dll [415744 2019-03-19] (Microsoft Windows -> Microsoft Corporation)
Task: {F25B2617-9817-4144-84E8-1E0C3B7531FB} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [18458752 2019-10-14] (Piriform Software Ltd -> Piriform Ltd)

(If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)

Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe

==================== Internet (Whitelisted) ====================

(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

Tcpip\..\Interfaces\{f690ace6-be20-40b6-9a18-99739479f803}: [NameServer] 80.58.61.254,80.58.61.250

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 

FireFox:
========
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.35.422\npGoogleUpdate3.dll [2019-12-23] (Google LLC -> Google LLC)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.35.422\npGoogleUpdate3.dll [2019-12-23] (Google LLC -> Google LLC)

Chrome: 
=======
CHR StartupUrls: Default -> "hxxp://www.google.com"
CHR Profile: C:\Users\lobo\AppData\Local\Google\Chrome\User Data\Default [2019-12-23]
CHR Extension: (Presentaciones) - C:\Users\lobo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2019-12-23]
CHR Extension: (Documentos) - C:\Users\lobo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2019-12-23]
CHR Extension: (Google Drive) - C:\Users\lobo\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2019-12-23]
CHR Extension: (Hojas de cálculo) - C:\Users\lobo\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2019-12-23]
CHR Extension: (Chrome Media Router) - C:\Users\lobo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-23]

==================== Services (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

R2 AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [238080 2015-01-13] (Microsoft Windows Hardware Compatibility Publisher -> AMD)
R2 AVG Antivirus; C:\Program Files\AVG\Antivirus\AVGSvc.exe [996928 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R3 avgbIDSAgent; C:\Program Files\AVG\Antivirus\aswidsagent.exe [6307248 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R2 AvgWscReporter; C:\Program Files\AVG\Antivirus\wsc_proxy.exe [110560 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [6960640 2019-12-23] (Malwarebytes Inc -> Malwarebytes)
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [4098056 2019-03-19] (Microsoft Corporation -> Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [113992 2019-03-19] (Microsoft Corporation -> Microsoft Corporation)

===================== Drivers (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

S3 AgereSoftModem; C:\Windows\system32\DRIVERS\agrsm64.sys [1146880 2019-03-19] (Microsoft Windows -> LSI Corp)
R3 amdkmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [11922944 2015-01-13] (Microsoft Windows Hardware Compatibility Publisher -> Advanced Micro Devices, Inc.)
R3 amdkmdap; C:\Windows\system32\DRIVERS\atikmpag.sys [359936 2015-01-13] (Microsoft Windows Hardware Compatibility Publisher -> Advanced Micro Devices, Inc.)
S3 athr; C:\Windows\System32\drivers\athwnx.sys [4233728 2019-03-19] (Microsoft Windows -> Qualcomm Atheros Communications, Inc.)
R0 avgArDisk; C:\Windows\System32\drivers\avgArDisk.sys [37880 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R1 avgArPot; C:\Windows\System32\drivers\avgArPot.sys [205600 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R1 avgbidsdriver; C:\Windows\System32\drivers\avgbidsdriver.sys [275232 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R0 avgbidsh; C:\Windows\System32\drivers\avgbidsh.sys [210328 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R0 avgbuniv; C:\Windows\System32\drivers\avgbuniv.sys [65376 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R0 avgElam; C:\Windows\System32\drivers\avgElam.sys [16520 2019-12-23] (Microsoft Windows Early Launch Anti-malware Publisher -> AVG Technologies CZ, s.r.o.)
R1 avgKbd; C:\Windows\System32\drivers\avgKbd.sys [43512 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R2 avgMonFlt; C:\Windows\System32\drivers\avgMonFlt.sys [171640 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R1 avgRdr; C:\Windows\System32\drivers\avgRdr2.sys [111096 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R0 avgRvrt; C:\Windows\System32\drivers\avgRvrt.sys [84560 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R1 avgSnx; C:\Windows\System32\drivers\avgSnx.sys [848688 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R1 avgSP; C:\Windows\System32\drivers\avgSP.sys [461216 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R2 avgStm; C:\Windows\System32\drivers\avgStm.sys [236288 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R0 avgVmm; C:\Windows\System32\drivers\avgVmm.sys [317304 2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
R1 ESProtectionDriver; C:\Windows\system32\drivers\mbae64.sys [153312 2019-12-23] (Malwarebytes Corporation -> Malwarebytes)
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [216544 2019-12-23] (Malwarebytes Inc -> Malwarebytes)
S0 MbamElam; C:\Windows\System32\DRIVERS\MbamElam.sys [20936 2019-12-23] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [224408 2019-12-23] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMProtection; C:\Windows\system32\DRIVERS\mbam.sys [73584 2019-12-23] (Malwarebytes Corporation -> Malwarebytes)
R3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [278344 2019-12-23] (Malwarebytes Inc -> Malwarebytes)
R3 MBAMWebProtection; C:\Windows\system32\DRIVERS\mwac.sys [116832 2019-12-23] (Malwarebytes Corporation -> Malwarebytes)
S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [46472 2019-03-19] (Microsoft Windows Early Launch Anti-malware Publisher -> Microsoft Corporation)
S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [333784 2019-03-19] (Microsoft Windows -> Microsoft Corporation)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [62432 2019-03-19] (Microsoft Windows -> Microsoft Corporation)

==================== NetSvcs (Whitelisted) ===================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


==================== One month (created) ===================

(If an entry is included in the fixlist, the file/folder will be moved.)

2019-12-23 22:40 - 2019-12-23 22:40 - 000022919 _____ C:\Users\lobo\Downloads\informefrst.txt
2019-12-23 22:37 - 2019-12-23 22:39 - 000022919 _____ C:\Users\lobo\Downloads\Addition.txt
2019-12-23 22:34 - 2019-12-23 22:41 - 000013056 _____ C:\Users\lobo\Downloads\FRST.txt
2019-12-23 22:34 - 2019-12-23 22:40 - 000000000 ____D C:\FRST
2019-12-23 22:28 - 2019-12-23 22:28 - 024578944 _____ (Piriform Software Ltd) C:\Users\lobo\Downloads\ccsetup563.exe
2019-12-23 22:26 - 2019-12-23 22:30 - 000003936 _____ C:\Windows\system32\Tasks\CCleaner Update
2019-12-23 22:26 - 2019-12-23 22:29 - 000000863 _____ C:\Users\Public\Desktop\CCleaner.lnk
2019-12-23 22:26 - 2019-12-23 22:27 - 000000000 ____D C:\Program Files\CCleaner
2019-12-23 22:26 - 2019-12-23 22:26 - 000002864 _____ C:\Windows\system32\Tasks\CCleanerSkipUAC
2019-12-23 22:26 - 2019-12-23 22:26 - 000002375 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2019-12-23 22:26 - 2019-12-23 22:26 - 000002334 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2019-12-23 22:26 - 2019-12-23 22:26 - 000000000 ____D C:\Users\lobo\AppData\Local\Google
2019-12-23 22:26 - 2019-12-23 22:26 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2019-12-23 22:25 - 2019-12-23 22:31 - 000003622 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineUA
2019-12-23 22:25 - 2019-12-23 22:31 - 000003498 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineCore
2019-12-23 22:25 - 2019-12-23 22:31 - 000000000 ____D C:\Program Files (x86)\Google
2019-12-23 22:24 - 2019-12-23 22:24 - 000001326 _____ C:\Users\lobo\Desktop\AdwCleaner[S00].txt
2019-12-23 22:23 - 2019-12-23 22:24 - 000000000 ____D C:\AdwCleaner
2019-12-23 22:20 - 2019-12-23 22:20 - 000001536 _____ C:\Users\lobo\Desktop\informemalwarebytes.txt
2019-12-23 22:17 - 2019-12-23 22:20 - 000000000 ____D C:\Users\lobo\AppData\LocalLow\IGDump
2019-12-23 22:17 - 2019-12-23 22:17 - 000224408 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
2019-12-23 22:17 - 2019-12-23 22:17 - 000116832 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
2019-12-23 22:17 - 2019-12-23 22:17 - 000073584 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
2019-12-23 22:15 - 2019-12-23 22:15 - 000278344 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2019-12-23 22:15 - 2019-12-23 22:15 - 000216544 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2019-12-23 22:15 - 2019-12-23 22:15 - 000153312 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys
2019-12-23 22:15 - 2019-12-23 22:15 - 000002021 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2019-12-23 22:15 - 2019-12-23 22:15 - 000000000 ____D C:\Users\lobo\AppData\Local\mbamtray
2019-12-23 22:15 - 2019-12-23 22:15 - 000000000 ____D C:\Users\lobo\AppData\Local\mbam
2019-12-23 22:15 - 2019-12-23 22:15 - 000000000 ____D C:\Users\lobo\AppData\Local\cache
2019-12-23 22:15 - 2019-12-23 22:15 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2019-12-23 22:15 - 2019-12-23 22:15 - 000000000 ____D C:\ProgramData\Malwarebytes
2019-12-23 22:15 - 2019-12-23 22:14 - 000020936 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamElam.sys
2019-12-23 22:14 - 2019-12-23 22:14 - 000000000 ____D C:\Program Files\Malwarebytes
2019-12-23 22:12 - 2019-12-23 22:12 - 008237744 _____ (Malwarebytes) C:\Users\lobo\Downloads\adwcleaner_8.0.1.exe
2019-12-23 22:09 - 2019-12-23 22:09 - 002260480 _____ (Farbar) C:\Users\lobo\Downloads\FRST64.exe
2019-12-23 22:08 - 2019-12-23 22:08 - 025441808 _____ (Piriform Software Ltd) C:\Users\lobo\Downloads\ccsetup562.exe
2019-12-23 22:08 - 2019-12-23 22:08 - 001883976 _____ (Malwarebytes) C:\Users\lobo\Downloads\MBSetup.exe
2019-12-23 21:41 - 2019-12-23 21:41 - 000000000 ____D C:\Users\lobo\AppData\Roaming\Macromedia
2019-12-23 21:31 - 2019-12-23 20:25 - 000355760 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\avgBoot.exe
2019-12-23 20:43 - 2019-12-23 20:43 - 000000214 _____ C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job
2019-12-23 20:41 - 2019-12-23 21:26 - 000000000 ____D C:\Windows\pss
2019-12-23 20:40 - 2019-12-23 22:31 - 000000000 ____D C:\Users\lobo\AppData\Local\CrashDumps
2019-12-23 20:28 - 2019-12-23 20:28 - 000000000 ____D C:\Users\lobo\AppData\Roaming\AVG
2019-12-23 20:28 - 2019-12-23 20:28 - 000000000 ____D C:\Users\lobo\AppData\Local\CEF
2019-12-23 20:28 - 2019-12-23 20:28 - 000000000 ____D C:\Users\lobo\AppData\Local\Avg
2019-12-23 20:27 - 2019-12-23 21:31 - 000002075 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG AntiVirus FREE.lnk
2019-12-23 20:27 - 2019-12-23 21:31 - 000002063 _____ C:\Users\Public\Desktop\AVG AntiVirus FREE.lnk
2019-12-23 20:26 - 2019-12-23 21:31 - 000003992 _____ C:\Windows\system32\Tasks\Antivirus Emergency Update
2019-12-23 20:26 - 2019-12-23 20:26 - 000848688 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgSnx.sys
2019-12-23 20:26 - 2019-12-23 20:26 - 000461216 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgSP.sys
2019-12-23 20:26 - 2019-12-23 20:26 - 000171640 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgMonFlt.sys
2019-12-23 20:26 - 2019-12-23 20:26 - 000000000 ____D C:\Windows\system32\Tasks\AVG
2019-12-23 20:26 - 2019-12-23 20:26 - 000000000 ____D C:\Program Files\Common Files\AVG
2019-12-23 20:26 - 2019-12-23 20:25 - 000317304 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgVmm.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000275232 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgbidsdriver.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000236288 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgStm.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000210328 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgbidsh.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000205600 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgArPot.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000111096 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgRdr2.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000084560 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgRvrt.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000065376 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgbuniv.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000043512 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgKbd.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000037880 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgArDisk.sys
2019-12-23 20:26 - 2019-12-23 20:25 - 000016520 _____ (AVG Technologies CZ, s.r.o.) C:\Windows\system32\Drivers\avgElam.sys
2019-12-23 20:25 - 2019-12-23 20:25 - 000000000 ____D C:\Program Files\AVG
2019-12-23 20:24 - 2019-12-23 20:26 - 000000000 ____D C:\ProgramData\AVG
2019-12-23 19:44 - 2019-12-23 19:45 - 000000378 _____ C:\DelFix.txt
2019-12-23 19:43 - 2019-12-23 19:43 - 000000000 ___HD C:\Users\lobo\MicrosoftEdgeBackups
2019-12-23 19:34 - 2019-12-23 19:50 - 000000000 ____D C:\Users\lobo\AppData\Local\PlaceholderTileLogoFolder
2019-12-23 19:34 - 2019-12-23 19:34 - 000000000 _____ C:\Windows\ativpsrm.bin
2019-12-22 22:11 - 2019-12-22 22:11 - 000000000 ____D C:\Users\lobo\AppData\Local\Comms
2019-12-22 22:04 - 2019-12-22 22:11 - 000000000 ____D C:\ProgramData\Packages
2019-12-22 22:03 - 2019-12-22 22:03 - 000000000 ____D C:\Users\lobo\AppData\Local\OneDrive
2019-12-22 22:00 - 2019-12-22 22:00 - 000000000 ___RD C:\Users\lobo\OneDrive
2019-12-22 21:57 - 2019-12-22 21:57 - 000001450 _____ C:\Users\lobo\Desktop\Microsoft Edge.lnk
2019-12-22 21:57 - 2019-12-22 21:57 - 000000000 ____D C:\Users\lobo\AppData\Local\MicrosoftEdge
2019-12-22 21:57 - 2019-12-22 21:57 - 000000000 ____D C:\ProgramData\Microsoft OneDrive
2019-12-22 21:56 - 2019-12-22 21:56 - 000000000 ____D C:\Users\lobo\AppData\Local\Publishers
2019-12-22 21:55 - 2019-12-23 19:38 - 000000000 ____D C:\Users\lobo\AppData\Local\Packages
2019-12-22 21:55 - 2019-12-22 21:55 - 000000000 __RHD C:\Users\Public\AccountPictures
2019-12-22 21:55 - 2019-12-22 21:55 - 000000000 ___RD C:\Users\lobo\3D Objects
2019-12-22 21:55 - 2019-12-22 21:55 - 000000000 ____D C:\Users\lobo\AppData\Roaming\Adobe
2019-12-22 21:55 - 2019-12-22 21:55 - 000000000 ____D C:\Users\lobo\AppData\Local\VirtualStore
2019-12-22 21:55 - 2019-12-22 21:55 - 000000000 ____D C:\Users\lobo\AppData\Local\ConnectedDevicesPlatform
2019-12-22 21:54 - 2019-12-23 19:43 - 000000000 ____D C:\Users\lobo
2019-12-22 21:54 - 2019-12-22 21:54 - 000000020 ___SH C:\Users\lobo\ntuser.ini
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Reciente
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Plantillas
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Mis documentos
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Menú Inicio
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Impresoras
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Entorno de red
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Documents\Mis vídeos
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Documents\Mis imágenes
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Documents\Mi música
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Datos de programa
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\Configuración local
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\AppData\Roaming\Microsoft\Windows\Start Menu\Programas
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\AppData\Local\Historial
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\AppData\Local\Datos de programa
2019-12-22 21:54 - 2019-12-22 21:54 - 000000000 _SHDL C:\Users\lobo\AppData\Local\Archivos temporales de Internet
2019-12-22 21:48 - 2019-12-23 21:32 - 001684176 _____ C:\Windows\system32\PerfStringBackup.INI
2019-12-22 21:47 - 2019-12-22 21:47 - 000000000 ____D C:\Windows\minidump
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Public\Documents\Mis vídeos
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Public\Documents\Mis imágenes
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Public\Documents\Mi música
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Reciente
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Plantillas
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Mis documentos
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Menú Inicio
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Impresoras
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Entorno de red
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Documents\Mis vídeos
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Documents\Mis imágenes
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Documents\Mi música
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Datos de programa
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\Configuración local
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programas
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\AppData\Local\Historial
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\AppData\Local\Datos de programa
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default\AppData\Local\Archivos temporales de Internet
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Reciente
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Plantillas
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Mis documentos
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Menú Inicio
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Impresoras
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Entorno de red
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Documents\Mis vídeos
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Documents\Mis imágenes
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Documents\Mi música
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Datos de programa
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\Configuración local
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programas
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\AppData\Local\Historial
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\AppData\Local\Datos de programa
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Users\Default User\AppData\Local\Archivos temporales de Internet
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\ProgramData\Plantillas
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programas
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\ProgramData\Menú Inicio
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\ProgramData\Escritorio
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\ProgramData\Documentos
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\ProgramData\Datos de programa
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Program Files\Archivos comunes
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Documents and Settings
2019-12-22 21:43 - 2019-12-22 21:43 - 000000000 _SHDL C:\Archivos de programa
2019-12-22 21:37 - 2019-10-07 03:55 - 002874368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\PrintConfig.dll
2019-12-22 21:35 - 2019-12-23 21:27 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2019-12-22 21:35 - 2019-12-22 21:35 - 000000000 ____D C:\Windows\system32\Drivers\wd
2019-12-22 21:34 - 2019-12-22 21:35 - 000000000 ____D C:\Windows\system32\SleepStudy
2019-12-22 21:34 - 2019-12-22 21:34 - 000258152 _____ C:\Windows\system32\FNTCACHE.DAT
2019-12-22 21:34 - 2019-12-22 21:34 - 000000000 ____D C:\Windows\ServiceProfiles
2019-12-22 21:33 - 2019-12-23 22:31 - 000000000 ____D C:\Windows\Panther

==================== One month (modified) ==================

(If an entry is included in the fixlist, the file/folder will be moved.)

2019-12-23 22:31 - 2019-03-19 05:50 - 000000000 ____D C:\Windows\INF
2019-12-23 22:21 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\system32\WinBioPlugIns
2019-12-23 22:21 - 2019-03-19 05:37 - 000000000 ____D C:\Windows\CbsTemp
2019-12-23 22:15 - 2019-03-19 05:52 - 000000000 ___HD C:\Windows\ELAMBKUP
2019-12-23 21:44 - 2019-03-19 05:52 - 000000000 ____D C:\ProgramData\regid.1991-06.com.microsoft
2019-12-23 21:32 - 2019-03-19 12:59 - 000752322 _____ C:\Windows\system32\perfh00A.dat
2019-12-23 21:32 - 2019-03-19 12:59 - 000147902 _____ C:\Windows\system32\perfc00A.dat
2019-12-23 21:26 - 2019-03-19 05:37 - 000524288 _____ C:\Windows\system32\config\BBI
2019-12-23 19:56 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\AppReadiness
2019-12-23 19:51 - 2019-03-19 05:52 - 000000000 ___HD C:\Program Files\WindowsApps
2019-12-23 18:55 - 2019-03-19 05:52 - 000000000 ____D C:\ProgramData\USOPrivate
2019-12-22 22:06 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\SystemResources
2019-12-22 22:06 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\system32\spool
2019-12-22 22:06 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\system32\setup
2019-12-22 22:06 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\ServiceState
2019-12-22 22:06 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\PolicyDefinitions
2019-12-22 21:54 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\system32\WinBioDatabase
2019-12-22 21:43 - 2019-03-19 05:52 - 000000000 ____D C:\Program Files\Windows NT
2019-12-22 21:37 - 2019-03-19 05:52 - 000000000 ___RD C:\Windows\PrintDialog
2019-12-22 21:37 - 2019-03-19 05:52 - 000000000 ___RD C:\Windows\ImmersiveControlPanel
2019-12-22 21:36 - 2019-03-19 05:52 - 000000000 ____D C:\Windows\appcompat
2019-12-22 21:36 - 2019-03-19 05:37 - 000032768 _____ C:\Windows\system32\config\ELAM
2019-12-22 21:33 - 2019-03-19 05:49 - 000028672 _____ C:\Windows\system32\config\BCD-Template

==================== SigCheck ============================

(There is no automatic fix for files that do not pass verification.)

==================== End of FRST.txt ========================

Adicional del informe.

(If an entry is included in the fixlist, it will be removed.)

AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: AVG Antivirus (Enabled - Up to date) {4FC75CA5-1654-5411-7CFB-1893D506BCF4}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

==================== Installed Programs ======================

(Only the adware programs with "Hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

AVG AntiVirus FREE (HKLM-x32\...\AVG Antivirus) (Version: 19.8.3108 - AVG Technologies)
CCleaner (HKLM\...\CCleaner) (Version: 5.63 - Piriform)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 79.0.3945.88 - Google LLC)
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.35.421 - Google LLC) Hidden
Malwarebytes version 4.0.4.49 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.0.4.49 - Malwarebytes)

Packages:
=========
Correo y Calendario -> C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.11029.20108.0_x64__8wekyb3d8bbwe [2019-12-22] (Microsoft Corporation) [MS Ad]
Microsoft Advertising SDK for XAML -> C:\Program Files\WindowsApps\Microsoft.Advertising.Xaml_10.1808.3.0_x64__8wekyb3d8bbwe [2019-12-22] (Microsoft Corporation) [MS Ad]
MSN El Tiempo -> C:\Program Files\WindowsApps\Microsoft.BingWeather_4.25.20211.0_x64__8wekyb3d8bbwe [2019-12-22] (Microsoft Corporation) [MS Ad]

==================== Custom CLSID (Whitelisted): ==============

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [AVG] -> {472083B1-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVG\Antivirus\ashShell.dll [2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2019-12-23] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers6: [AVG] -> {472083B1-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVG\Antivirus\ashShell.dll [2019-12-23] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2019-12-23] (Malwarebytes Corporation -> Malwarebytes)

==================== Codecs (Whitelisted) ====================

==================== Shortcuts & WMI ========================

==================== Loaded Modules (Whitelisted) =============


==================== Alternate Data Streams (Whitelisted) ========

==================== Safe Mode (Whitelisted) ==================

(If an entry is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Association (Whitelisted) =================

==================== Internet Explorer trusted/restricted ==========

==================== Hosts content: =========================

(If needed Hosts: directive could be included in the fixlist to reset Hosts.)

2019-03-19 05:49 - 2019-03-19 05:49 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts

==================== Other Areas ===========================

(Currently there is no automatic fix for this section.)

HKU\S-1-5-21-2225362386-2777678899-3998696106-1001\Control Panel\Desktop\\Wallpaper -> C:\Windows\web\wallpaper\Windows\img0.jpg
DNS Servers: 80.58.61.254 - 80.58.61.250
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
Windows Firewall is enabled.

==================== MSCONFIG/TASK MANAGER disabled items ==

==================== FirewallRules (Whitelisted) ================

(If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

FirewallRules: [{7E92E265-8CFB-43A4-BF68-1D9E9DD82783}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)

==================== Restore Points =========================


==================== Faulty Device Manager Devices ============

Name: Batería con método de control compatible con ACPI de Microsoft
Description: Batería con método de control compatible con ACPI de Microsoft
Class Guid: {72631e54-78a4-11d0-bcf7-00aa00b7b32a}
Manufacturer: Microsoft
Service: CmBatt
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Controlador de infraestructura de virtualización de Microsoft Hyper-V
Description: Controlador de infraestructura de virtualización de Microsoft Hyper-V
Class Guid: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: Vid
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Enumerador de unidades virtuales de Microsoft
Description: Enumerador de unidades virtuales de Microsoft
Class Guid: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: vdrvroot
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Qualcomm Atheros AR5B93 Wireless Network Adapter
Description: Qualcomm Atheros AR5B93 Wireless Network Adapter
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: Qualcomm Atheros Communications Inc.
Service: athr
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Microsoft Device Association Root Enumerator
Description: Dispositivo de software genérico
Class Guid: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
Manufacturer: Microsoft
Service: 
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Sintetizador por software GS de tabla de onda de 
Description: Dispositivo de software genérico
Class Guid: {62f9c741-b25a-46ce-b54c-9bccce08b6f2}
Manufacturer: Microsoft
Service: 
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Enumerador de adaptador de red virtual NDIS
Description: Enumerador de adaptador de red virtual NDIS
Class Guid: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: NdisVirtualBus
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Agere Systems HDA Modem
Description: Agere Systems HDA Modem
Class Guid: {4d36e96d-e325-11ce-bfc1-08002be10318}
Manufacturer: Agere
Service: Modem
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Name: Bus del Redirector de dispositivos de Escritorio remoto
Description: Bus del Redirector de dispositivos de Escritorio remoto
Class Guid: {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer: Microsoft
Service: rdpbus
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: ========================

Application errors:
==================
Error: (12/23/2019 10:31:13 PM) (Source: Windows Search Service) (EventID: 1019) (User: )
Description: El servicio Windows Search no pudo procesar la lista de ubicaciones incluidas y excluidas. Error: <30, 0x80040d07, "iehistory://{S-1-5-21-2225362386-2777678899-3998696106-1001}/">.

Error: (12/23/2019 09:30:29 PM) (Source: Software Protection Platform Service) (EventID: 8211) (User: )
Description: Error al actualizar los token de clave de producto y licencia de Windows con 0xC004F025.

Error: (12/23/2019 09:28:15 PM) (Source: Software Protection Platform Service) (EventID: 8211) (User: )
Description: Error al actualizar los token de clave de producto y licencia de Windows con 0xC004F025.

Error: (12/23/2019 08:44:36 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nombre de la aplicación con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Nombre del módulo con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Código de excepción: 0xc0000005
Desplazamiento de errores: 0x000040cd
Identificador del proceso con errores: 0x1064
Hora de inicio de la aplicación con errores: 0x01d5b9c9667c2756
Ruta de acceso de la aplicación con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Ruta de acceso del módulo con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Identificador del informe: 168acc2d-f1d7-47f0-bbf1-5da538caca03
Nombre completo del paquete con errores: 
Identificador de aplicación relativa del paquete con errores:

Error: (12/23/2019 08:41:35 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nombre de la aplicación con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Nombre del módulo con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Código de excepción: 0xc0000005
Desplazamiento de errores: 0x000040cd
Identificador del proceso con errores: 0x186c
Hora de inicio de la aplicación con errores: 0x01d5b9c8fc2df25b
Ruta de acceso de la aplicación con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Ruta de acceso del módulo con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Identificador del informe: eed9740d-4aec-4ea8-b406-35683a14a39f
Nombre completo del paquete con errores: 
Identificador de aplicación relativa del paquete con errores:

Error: (12/23/2019 08:40:44 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nombre de la aplicación con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Nombre del módulo con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Código de excepción: 0xc0000005
Desplazamiento de errores: 0x000040cd
Identificador del proceso con errores: 0x1a4
Hora de inicio de la aplicación con errores: 0x01d5b9c8ddf57c63
Ruta de acceso de la aplicación con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Ruta de acceso del módulo con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Identificador del informe: b3c8a034-8550-4978-acbe-de151ee7bb3e
Nombre completo del paquete con errores: 
Identificador de aplicación relativa del paquete con errores:

Error: (12/23/2019 08:40:02 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nombre de la aplicación con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Nombre del módulo con errores: RootkitRevealer.exe, versión: 1.71.0.0, marca de tiempo: 0x44e255aa
Código de excepción: 0xc0000005
Desplazamiento de errores: 0x000040cd
Identificador del proceso con errores: 0xb40
Hora de inicio de la aplicación con errores: 0x01d5b9c8c32fd8b9
Ruta de acceso de la aplicación con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Ruta de acceso del módulo con errores: C:\Users\lobo\Downloads\RootkitRevealer\RootkitRevealer.exe
Identificador del informe: 309f5da2-0a84-49e0-950b-0846c09cc930
Nombre completo del paquete con errores: 
Identificador de aplicación relativa del paquete con errores:

Error: (12/23/2019 07:57:19 PM) (Source: VSS) (EventID: 8193) (User: )
Description: Error del Servicio de instantáneas de volumen: error inesperado al llamar a la rutina CoCreateInstance. HR = 0x8007045b, Se está cerrando el sistema.
.


System errors:
=============
Error: (12/23/2019 09:28:23 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: El servicio RasMan depende del servicio SstpSvc, el cual no pudo iniciarse debido al siguiente error: 
La operación se completó correctamente.

Error: (12/23/2019 09:26:33 PM) (Source: DCOM) (EventID: 10005) (User: LOBO)
Description: Error de DCOM "1084" al intentar iniciar el servicio ShellHWDetection con argumentos "No disponible" para ejecutar el servidor:
{DD522ACC-F821-461A-A407-50B198B896DC}

Error: (12/23/2019 09:26:28 PM) (Source: DCOM) (EventID: 10005) (User: LOBO)
Description: Error de DCOM "1084" al intentar iniciar el servicio ShellHWDetection con argumentos "No disponible" para ejecutar el servidor:
{DD522ACC-F821-461A-A407-50B198B896DC}

Error: (12/23/2019 09:26:20 PM) (Source: DCOM) (EventID: 10005) (User: LOBO)
Description: Error de DCOM "1084" al intentar iniciar el servicio WSearch con argumentos "No disponible" para ejecutar el servidor:
{B52D54BB-4818-4EB9-AA80-F9EACD371DF8}

Error: (12/23/2019 09:26:20 PM) (Source: DCOM) (EventID: 10005) (User: LOBO)
Description: Error de DCOM "1084" al intentar iniciar el servicio TokenBroker con argumentos "No disponible" para ejecutar el servidor:
Windows.Internal.Security.Authentication.Web.TokenBrokerInternal

Error: (12/23/2019 09:26:20 PM) (Source: DCOM) (EventID: 10005) (User: LOBO)
Description: Error de DCOM "1084" al intentar iniciar el servicio TokenBroker con argumentos "No disponible" para ejecutar el servidor:
Windows.Internal.Security.Authentication.Web.TokenBrokerInternal

Error: (12/23/2019 09:26:20 PM) (Source: DCOM) (EventID: 10005) (User: LOBO)
Description: Error de DCOM "1084" al intentar iniciar el servicio TokenBroker con argumentos "No disponible" para ejecutar el servidor:
Windows.Internal.Security.Authentication.Web.WamProviderRegistration

Error: (12/23/2019 09:26:16 PM) (Source: DCOM) (EventID: 10005) (User: LOBO)
Description: Error de DCOM "1084" al intentar iniciar el servicio ShellHWDetection con argumentos "No disponible" para ejecutar el servidor:
{DD522ACC-F821-461A-A407-50B198B896DC}


Windows Defender:
===================================
Date: 2019-12-23 19:26:44.535
Description: 
Antivirus de Windows Defender detectó un error al intentar actualizar la inteligencia de seguridad.
Nueva versión de inteligencia de seguridad: 
Versión anterior de inteligencia de seguridad: 1.285.74.0
Origen de actualización: Centro de protección contra malware de Microsoft
Tipo de inteligencia de seguridad: AntiVirus
Tipo de actualización: Completa
Usuario: NT AUTHORITY\Servicio de red
Versión actual del motor: 
Versión anterior del motor: 1.1.15600.4
Código de error: 0x80072ee7
Descripción del error: No se pudo resolver el nombre de servidor o su dirección 

Date: 2019-12-23 19:26:44.534
Description: 
Antivirus de Windows Defender detectó un error al intentar actualizar la inteligencia de seguridad.
Nueva versión de inteligencia de seguridad: 
Versión anterior de inteligencia de seguridad: 1.285.74.0
Origen de actualización: Centro de protección contra malware de Microsoft
Tipo de inteligencia de seguridad: AntiSpyware
Tipo de actualización: Completa
Usuario: NT AUTHORITY\Servicio de red
Versión actual del motor: 
Versión anterior del motor: 1.1.15600.4
Código de error: 0x80072ee7
Descripción del error: No se pudo resolver el nombre de servidor o su dirección 

Date: 2019-12-23 19:26:44.533
Description: 
Antivirus de Windows Defender detectó un error al intentar actualizar la inteligencia de seguridad.
Nueva versión de inteligencia de seguridad: 
Versión anterior de inteligencia de seguridad: 1.285.74.0
Origen de actualización: Centro de protección contra malware de Microsoft
Tipo de inteligencia de seguridad: AntiVirus
Tipo de actualización: Completa
Usuario: NT AUTHORITY\Servicio de red
Versión actual del motor: 
Versión anterior del motor: 1.1.15600.4
Código de error: 0x80072ee7
Descripción del error: No se pudo resolver el nombre de servidor o su dirección 

Date: 2019-12-23 19:26:44.521
Description: 
Antivirus de Windows Defender detectó un error al intentar actualizar la inteligencia de seguridad.
Nueva versión de inteligencia de seguridad: 
Versión anterior de inteligencia de seguridad: 1.285.74.0
Origen de actualización: Centro de protección contra malware de Microsoft
Tipo de inteligencia de seguridad: AntiVirus
Tipo de actualización: Completa
Usuario: NT AUTHORITY\Servicio de red
Versión actual del motor: 
Versión anterior del motor: 1.1.15600.4
Código de error: 0x80072ee7
Descripción del error: No se pudo resolver el nombre de servidor o su dirección 

Date: 2019-12-23 19:26:44.520
Description: 
Antivirus de Windows Defender detectó un error al intentar actualizar la inteligencia de seguridad.
Nueva versión de inteligencia de seguridad: 
Versión anterior de inteligencia de seguridad: 1.285.74.0
Origen de actualización: Centro de protección contra malware de Microsoft
Tipo de inteligencia de seguridad: AntiSpyware
Tipo de actualización: Completa
Usuario: NT AUTHORITY\Servicio de red
Versión actual del motor: 
Versión anterior del motor: 1.1.15600.4
Código de error: 0x80072ee7
Descripción del error: No se pudo resolver el nombre de servidor o su dirección 

CodeIntegrity:
===================================

Date: 2019-12-23 22:30:15.252
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Windows\System32\MicrosoftEdgeCP.exe) attempted to load \Device\HarddiskVolume2\Program Files\Malwarebytes\Anti-Malware\mbae64.dll that did not meet the Store signing level requirements.

Date: 2019-12-23 22:30:09.561
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Windows\System32\MicrosoftEdgeCP.exe) attempted to load \Device\HarddiskVolume2\Program Files\Malwarebytes\Anti-Malware\mbae64.dll that did not meet the Store signing level requirements.

Date: 2019-12-23 22:29:02.883
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Windows\System32\MicrosoftEdgeCP.exe) attempted to load \Device\HarddiskVolume2\Program Files\Malwarebytes\Anti-Malware\mbae64.dll that did not meet the Store signing level requirements.

Date: 2019-12-23 22:28:57.395
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files (x86)\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume2\Program Files\Malwarebytes\Anti-Malware\mbae64.dll that did not meet the Microsoft signing level requirements.

Date: 2019-12-23 22:28:56.906
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files (x86)\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume2\Program Files\AVG\Antivirus\aswhook.dll that did not meet the Microsoft signing level requirements.

Date: 2019-12-23 22:28:56.663
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files (x86)\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume2\Program Files\AVG\Antivirus\snxhk.dll that did not meet the Microsoft signing level requirements.

Date: 2019-12-23 22:28:55.333
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files (x86)\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume2\Program Files\Malwarebytes\Anti-Malware\mbae64.dll that did not meet the Microsoft signing level requirements.

Date: 2019-12-23 22:28:54.678
Description: 
Code Integrity determined that a process (\Device\HarddiskVolume2\Program Files (x86)\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume2\Program Files\AVG\Antivirus\aswhook.dll that did not meet the Microsoft signing level requirements.

==================== Memory info =========================== 

BIOS: Phoenix Technologies LTD V1.11 12/07/2009
Motherboard: Acer JV71TR
Processor: AMD Turion(tm) II Dual-Core Mobile M500
Percentage of memory in use: 81%
Total physical RAM: 3838.36 MB
Available physical RAM: 717.67 MB
Total Virtual: 5246.36 MB
Available Virtual: 2180.59 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:465.19 GB) (Free:443.23 GB) NTFS
Drive d: (ESD-ISO) (CDROM) (Total:4 GB) (Free:0 GB) UDF

\\?\Volume{efa6c02d-0000-0000-0000-100000000000}\ (Reservado para el sistema) (Fixed) (Total:0.57 GB) (Free:0.11 GB) NTFS

==================== MBR & Partition Table ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: EFA6C02D)
Partition 1: (Active) - (Size=579 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=465.2 GB) - (Type=07 NTFS)

==================== End of Addition.txt =======================

Hola @pablo_corcuera_fortu

Tienes los reportes de Gmer y la Herramienta de Avast que mencionas?

Salu2

Hola SanMar, el problema de la herramienta de Mbra de Avast es que me hace pantallazo de la muerte y se me reinicia el win10,me pasa exactamente igual con gmer2, lo único que puedo mandar es el rootkit o malware encontrado bajo un nombre heredero de win10 , en cambio si te mando el informe de gmer2 por completo, es decir intento realizar análisis por completo me peta el windows10 igual con pantallazo azul de la muerte.

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2019-12-24 13:17:26
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HTS545050B9A300 rev.PB4OC60F 465,76GB
Running: gmer.exe; Driver: C:\Users\lobo\AppData\Local\Temp\pgldapod.sys


---- Threads - GMER 2.2 ----

**Thread  C:\Windows\system32\csrss.exe [528:640]  ffffa50ffbe62460**

---- EOF - GMER 2.2 ----

Muchas Gracias.

PD: He probado de reparar el Windows con sfc/scannow y también con el comando Dism restorehealth y clean, pero bueno sigo igual.

Intenté reparar el MBR desde el cd de instalación con la opción de CMD y cuando he intentado reparar el mbr con comandos , en el momento de querer hacer una copia limpia del boot, me dice acceso denegado.

He vuelto a desinstalar todos los programas de seguridad, he ejecutado DelFix con el modo purge system y herramientas de desinfección, ahora he instalado solo malware bytes anti ransomware beta, ejecuté antes de instalar malwarebytes antiransom el zhpcleaner y estoy limpio.

Necesito alguna herramienta para poder limpiar por completo la bios y también poder desactivar las opciones de password de bios. El problema viene de ahí, por mucho que haga formateo y de bajo nivel al disco con un Windows 10 limpio no sirve de nada si tengo x:\boot del sistema infectado. Busqué con hirensboot 15.2 y la versión de win10 64 pero no termino de solucionarlo con eso.

Muchas gracias

Hola @pablo_corcuera_fortu

No me queda para nada claro que herramienta te detecto el rootkit???

Si realmente tienes una infección de MBR haciendo pasos desesperados no lograras quitarlo.

Una herramienta antiransomware, nada puede hacer contra este tipo de rootkits que mencionas y mucho menos ZPHcleaner.

No instales mas herramientas. Ya que te complicaran el panorama.

Ejecutaste FRST desde un lugar incorrecto:

  • Running from C:\Users\lobo\Downloads

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Y vuelves a correrlo de la siguiente manera:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga/ejecuta Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Buenos dias y feliz navidad. Voy a seguir todo lo que me indiques al pie de la letra, se que es un poco lio todo lo que he ido haciendo y reportando. Pero antes de empezar tus pasos quiero formatear y desde windows 10 home limpio empezaremos si te parece bien, lo que si voy a pegar ahora para que le heches un vistazo son reportes que hice con hirensboot 15 en Avira y Malwarebytes. En el proximo reporte empezaremos con tus pasos una vez instale win10 home64 limpio.

Muchas gracias y feliz navidad.

Reporte Avira :slight_smile:

Avira / Windows Version 1.9.150.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.

WARNING: [This key has expired] Initialization
engine set:         8.2.6.100
VDF Version:        7.11.16.201 

key file:           B:\Temp\HBCD\Avira\hbedv.key
registered user:    Avira AntiVir Personal - Free Antivirus
serial number:      0000149996
key expires:        Nov 30 2012
update service:     unavailable!



Scan start time: 2019-12-25 11:24:40
Command line: scancl.exe --logformat=singleline --logappend --log=scan.log --colors --heurlevel=2 --defaultaction=delete --suspiciousaction=delete d: 

configuration file: B:\Temp\HBCD\Avira\scancl.conf
Stoping scan process...
                                                                                

Statistics :                
    Directories............... : 363
    Files..................... : 1545
        Infected.............. : 0
        Warnings.............. : 0
        Suspicious............ : 0
    Infections................ : 0
    Time...................... : 00:00:15

Avira / Windows Version 1.9.150.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.

WARNING: [This key has expired] Initialization
engine set:         8.2.6.100
VDF Version:        7.11.16.201 

key file:           B:\Temp\HBCD\Avira\hbedv.key
registered user:    Avira AntiVir Personal - Free Antivirus
serial number:      0000149996
key expires:        Nov 30 2012
update service:     unavailable!



Scan start time: 2019-12-25 11:28:11
Command line: scancl.exe --logformat=singleline --logappend --log=scan.log --colors --heurlevel=2 --defaultaction=clean --suspiciousaction=clean d: 

configuration file: B:\Temp\HBCD\Avira\scancl.conf
Stoping scan process...
                                                                                

Statistics :                
    Directories............... : 412
    Files..................... : 2056
        Infected.............. : 0
        Warnings.............. : 0
        Suspicious............ : 0
    Infections................ : 0
    Time...................... : 00:00:07

Avira / Windows Version 1.9.150.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.

WARNING: [This key has expired] Initialization
engine set:         8.2.6.100
VDF Version:        7.11.16.201 

key file:           B:\Temp\HBCD\Avira\hbedv.key
registered user:    Avira AntiVir Personal - Free Antivirus
serial number:      0000149996
key expires:        Nov 30 2012
update service:     unavailable!

Scan start time: 2019-12-25 11:28:46
Command line: scancl.exe --logformat=singleline --logappend --log=scan.log --colors --heurlevel=2 --defaultaction=delete --suspiciousaction=delete d: 

configuration file: B:\Temp\HBCD\Avira\scancl.conf
 ALERT: [TR/Crypt.XPACK.Gen3] d:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.2.11280.0_x86__8wekyb3d8bbwe\Microsoft.MicrosoftSolitaireCollection.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen3 [deleted]
 ALERT: [TR/Crypt.XPACK.Gen] d:\Program Files\WindowsApps\Microsoft.MicrosoftSolitaireCollection_4.2.11280.0_x86__8wekyb3d8bbwe\Microsoft.MicrosoftSolitaireCollection.exe <<< Is the Trojan horse TR/Crypt.XPACK.Gen [deleted]
 ALERT: [TR/Crypt.XPACK.Gen] d:\Program Files\WindowsApps\Microsoft.NET.Native.Framework.1.7_1.7.25531.0_x86__8wekyb3d8bbwe\SharedLibrary.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen [deleted]
 ALERT: [TR/Crypt.XPACK.Gen2] d:\Program Files\WindowsApps\Microsoft.NET.Native.Runtime.1.7_1.7.25531.0_x86__8wekyb3d8bbwe\mrt100_app.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen2 [deleted]
 ALERT: [TR/Crypt.XPACK.Gen3] d:\Program Files (x86)\Common Files\Microsoft Shared\ink\micaut.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen3 [deleted]
 ALERT: [TR/Crypt.XPACK.Gen] d:\Program Files (x86)\Common Files\Microsoft Shared\ink\pipanel.exe <<< Is the Trojan horse TR/Crypt.XPACK.Gen [deleted]
 ALERT: [TR/Crypt.XPACK.Gen3] d:\Program Files (x86)\Common Files\System\ado\msadomd.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen3 [deleted]
 ALERT: [TR/Crypt.XPACK.Gen3] d:\Program Files (x86)\Common Files\System\ado\msador15.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen3 [deleted]
 ALERT: [TR/Crypt.XPACK.Gen3] d:\Program Files (x86)\Common Files\System\ado\msadox.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen3 [deleted]

Statistics :                
    Directories............... : 28474
    Files..................... : 107413
        Infected.............. : 1187
            Deleted........... : 1187
        Warnings.............. : 8
        Suspicious............ : 0
    Infections................ : 1187
    Time...................... : 00:16:04

Malwarebytes:

 Malwarebytes' Anti-Malware 
www.malwarebytes.org

Database version: 

Windows 5.1.2600
Internet Explorer 6.0.2800.5512

2019-12-25 12:06:22
mbam-log-2019-12-25 (12-05-53).txt

Scan type: Full scan (B:\|C:\|X:\|)
Objects scanned: 80862
Time elapsed: 13 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 1
Registry Keys Infected: 4
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 8

Memory Processes Infected:
x:\I386\System32\keybtray.exe (Malware.Packer.Gen) -> 1588 -> No action taken.

Memory Modules Infected:
x:\I386\System32\wzcsvc.dll (Trojan.FakeAV) -> No action taken.

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3F4DACA0-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen) -> No action taken.
HKEY_CLASSES_ROOT\VBScript.RegExp (Malware.Packer.Gen) -> No action taken.

PD:Quedamos entonces que cuando instale win10 limpio otra vez comenzamos con tu tutorial de analisis y desinfeccion. Muchas gracias

Disculpame por no ponerte las 4 dobles comas de un principio y final para el reporte, lo hare como tiene que ser para cuando tenga mi win10 recien instalado como te comente antes. Saludos y feliz navidad.

Hola @pablo_corcuera_fortu

Pues hasta ahora no has hecho nada de lo que te dije vamos mal.

Si realmente tuvieras el rootkit que crees que tienes formatear no ayudaría en nada, ya que son malwares que muchas veces resisten el formateo.

En estos casos se limpia el equipo primero y luego, por seguridad, se formatea.

Los cd de Hirens para bootear tienen software muy obsoletos y con resultados nada confiables:

Dudo de esas detecciones, es probable que te dañe por completo tu Windows 10.

La versión que usaste de Malwarebytes de Hirens también esta obsoleta mira como te detecto tu Windows 10:

Nunca me respondiste como empezó tu sospecha de esta infección (síntomas) y que herramienta detectó que para que empezaras con esta cacería desordenada y peligrosa.

Si te es mas cómodo formatea ya que dudo que ese Windows haya quedado estable, vuelves lo comentas y analizamos con propiedad ese equipo.

PD: Formatea con una copia original y actual de Windowa 10 y no lo hagas con una pirata o modificada.

Salu2

1 me gusta

Hola, en este caso tienes razón, por utilizar hirensboot 15, antetodo te pido disculpas y a poder ser ya que no se hacerlo yo o no veo la opción dar por este caso cerrado, si puedes eliminar el post sería de agradecer, en el próximo post si lo abro seguiré todos los pasos al pie de la letra , de momento voy a dejar mi portátil como si no pasara nada ya que lo formatee nuevamente , en cuanto vea alguna anomalía pues me pondré en contacto contigo para verificar si es cierto mis sospechas que tengo un malware en la bios o no.

Mis disculpas nuevamente y felices fiestas.

Saludos

Hola @pablo_corcuera_fortu

Damos el tema por Terminado

Por aquí no borramos los temas, si lo cierro asi cuando lo necesites puedes abrir un nuevo tema.

Incluso puedes mandarme un MP con el enlace del mismo para ayudarte con tus sospechas.

Felicidades para ti y tu Familia en estas Fiestas…!!!

Tema Terminado

Salu2.