Ayuda posible malwere AutoIt Error

Eliminar Malwares
15

Hola buenas @pau.ele

:zero: PREGUNTAS

¿Hoy en día utilizas este software?

Pando Media Booster (HKLM-x32\...\{980A182F-E0A2-4A40-94C1-AE0C1235902E}) (Version: 2.6.0.7 - Pando Networks Inc.)

¿Qué antivirus utilizas a día de hoy? Entiendo que por todo lo que he visto utilizas Avast. ¿Correcto?

¿Reconoces estos programas? ¿Alguien antes utilizo esta máquina con idiomas extranjeros o alfabetos muy poco comunes para un país de habla española?

Στοιχείο ελέγχου ActiveX του Windows Live Mesh για απομακρυσμένες συνδέσεις (HKLM-x32\...\{F665F3B8-01B4-46A9-8E47-FF8DC2208C9F}) (Version: 15.4.5722.2 - Microsoft Corporation)
Συλλογή φωτογραφιών του Windows Live (HKLM-x32\...\{C00C2A91-6CB3-483F-80B3-2958E29468F1}) (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Основные компоненты Windows Live (HKLM-x32\...\{E83DC314-C926-4214-AD58-147691D6FE9F}) (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Почта Windows Live (HKLM-x32\...\{B63F0CE3-CCD0-490A-9A9C-E1A3B3A17137}) (Version: 15.4.3502.0922 - Корпорация Майкрософт) Hidden
Фотоальбом Windows Live (HKLM-x32\...\{77F69CA1-E53D-4D77-8BA3-FA07606CC851}) (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
Элемент управления Windows Live Mesh ActiveX для удаленных подключений (HKLM-x32\...\{BCB0D6F7-7EAB-4009-A6F2-8E0E7F317773}) (Version: 15.4.5722.2 - Microsoft Corporation)
גלריית התמונות של Windows Live (HKLM-x32\...\{CE929F09-3853-4180-BD90-30764BFF7136}) (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
פקד ActiveX של Windows Live Mesh עבור חיבורים מרוחקים (HKLM-x32\...\{9D4C7DFA-CBBB-4F06-BDAC-94D831406DF0}) (Version: 15.4.5722.2 - Microsoft Corporation)
بريد Windows Live (HKLM-x32\...\{0A4C4B29-5A9D-4910-A13C-B920D5758744}) (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
عنصر تحكم ActiveX الخاص بـ Windows Live Mesh للاتصالات البعيدة (HKLM-x32\...\{E18B30AA-6E2D-480C-B918-AF61009F4010}) (Version: 15.4.5722.2 - Microsoft Corporation)
معرض صور Windows Live (HKLM-x32\...\{FBCA06D2-4642-4F33-B20A-A7AB3F0D2E69}) (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden
適用遠端連線的 Windows Live Mesh ActiveX 控制項 (HKLM-x32\...\{622DE1BE-9EDE-49D3-B349-29D64760342A}) (Version: 15.4.5722.2 - Microsoft Corporation)

:one: DESINSTALACIÓN PROGRAMAS

Para los programas en que te diga: puedes quitarlos. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Quitas todos los programas que encuentre Revo con los nombres de: Spybot - Search & Destroy, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables, Wondershare Video Editor o Wondershare + Lo que sea.

Pues serían los siguientes:

Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1) (Version: 1.6.2 - Safer Networking Limited)
Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies)
Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)
Wondershare Video Editor(Build 3.5.1) (HKLM-x32\...\Wondershare Video Editor_is1) (Version:  - Wondershare Software)

Estos deben de quedar completamente desinstalados.

¿Reconoces este programa?

PxMergeModule (HKLM-x32\...\{024521CF-C07E-4F8E-8481-0D75695E03AF}) (Version: 1.00.0000 - Your Company Name) Hidden

:two: DESINSTALACIÓN EXTENSIONES

Para las extensiones en que te diga: puedes quitarlas. Hazlo así:

Accedes a Chrome y quitas las extensiones llamadas: Sin Nombre y Chrome Media Router. Son estas:

CHR Extension: (Sin Nombre) - C:\Users\Paula\AppData\Local\Google\Chrome\User Data\Default\Extensions\napjheenlliimoedooldaalpjfidlidp [2021-05-07]
CHR Extension: (Chrome Media Router) - C:\Users\Paula\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2021-04-26]

:three: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
(Safer Networking Ltd. -> Safer Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
HKLM-x32\...\Run: [NeroFilterCheck] => C:\Windows\SysWOW64\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh) [Archivo no firmado]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: F - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {057f1a4e-23a1-11e7-981c-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {057f1a5b-23a1-11e7-981c-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {057f1a8c-23a1-11e7-981c-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {057f1a98-23a1-11e7-981c-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {057f1aba-23a1-11e7-981c-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {38352aa2-302c-11e7-9f9f-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {3de8dd11-f5fc-11e7-ac8b-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {506ff2fc-95ba-11e9-83da-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {573428db-23a7-11e7-86fb-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {89e6f77b-8ad5-11e9-aaf6-c86000109572} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {8b03b66f-83bc-11e4-b8aa-c86000109572} - H:\LGAutoRun.exe
HKU\S-1-5-21-3305915279-4216548775-2174266474-1005\...\MountPoints2: {e35ed135-88ff-11e8-9394-c86000109572} - F:\HiSuiteDownLoader.exe
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{73FA19D0-2D75-11D2-995D-00C04F98BBC9}] -> 
IFEO\LOGTRANSPORT2.EXE: [Debugger] 0
GroupPolicy\User: Restricción ? <==== ATENCIÓN
GroupPolicyUsers\S-1-5-21-3305915279-4216548775-2174266474-1005\User: Restricción <==== ATENCIÓN
Policies: C:\Users\Alex\NTUSER.pol: Restricción <==== ATENCIÓN
Policies: C:\Users\Paula\NTUSER.pol: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {32C02F56-EA93-41A1-8837-9C9C066AF645} - System32\Tasks\AVGUpdateTaskMachineCore => C:\Program Files (x86)\AVG\Browser\Update\AVGBrowserUpdate.exe
Task: {45AC64D9-5A87-48B1-BED5-3B6F65C03662} - System32\Tasks\Norton Family\Norton Error Analyzer => C:\Program Files (x86)\Norton Family\Engine\3.6.0.31\SymErr.exe
Task: {77668B24-CB62-4C46-91B3-994E297A6CC4} - System32\Tasks\AVGUpdateTaskMachineUA => C:\Program Files (x86)\AVG\Browser\Update\AVGBrowserUpdate.exe
Task: {DC642149-8B6D-4560-9B82-5CC9F597E9D3} - System32\Tasks\{4EF9A0BA-2ECC-4B65-8C01-D5C4C3959F70} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Electronic Arts\Uninstall.exe"
Task: {E34A57D8-56F3-49FE-9FB3-262AC8E0792E} - System32\Tasks\Norton Family\Norton Error Processor => C:\Program Files (x86)\Norton Family\Engine\3.6.0.31\SymErr.exe
FF HKLM\...\Firefox\Extensions: [{8A0D66E3-1C08-49A6-8F6C-7E024029D199}] - C:\ProgramData\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_3.4.0.43\coFFAddon => no encontrado
FF HKLM-x32\...\Firefox\Extensions: [{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}] - C:\ProgramData\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_3.4.0.43\coFFFw => no encontrado
FF HKLM-x32\...\Firefox\Extensions: [{8A0D66E3-1C08-49A6-8F6C-7E024029D199}] - C:\ProgramData\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_3.4.0.43\coFFAddon => no encontrado
FF Plugin: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\40.3.7\\npsitesafety.dll [Ningún archivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Ningún archivo]
CHR Extension: (Sin Nombre) - C:\Users\Paula\AppData\Local\Google\Chrome\User Data\Default\Extensions\napjheenlliimoedooldaalpjfidlidp [2021-05-07]
CHR Extension: (Chrome Media Router) - C:\Users\Paula\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2021-04-26]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
CHR HKLM-x32\...\Chrome\Extension: [napjheenlliimoedooldaalpjfidlidp] - <no Path/update_url>
R2 SBSDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd. -> Safer Networking Ltd.)
S2 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X]
S2 SupportSoft RemoteAssist; C:\Program Files (x86)\Common Files\supportsoft\bin\ssrc.exe [X]
U3 ADOBEUPDATESERVICE; no ImagePath
U1 aswbdisk; no ImagePath
2021-05-09 13:17 - 2018-12-12 17:50 - 000003476 _____ C:\Windows\system32\Tasks\AVGUpdateTaskMachineUA
2021-05-09 13:17 - 2018-12-12 17:50 - 000003348 _____ C:\Windows\system32\Tasks\AVGUpdateTaskMachineCore
2021-05-09 13:17 - 2014-02-03 15:14 - 000003094 _____ C:\Windows\system32\Tasks\{4EF9A0BA-2ECC-4B65-8C01-D5C4C3959F70}
2015-07-16 10:18 - 2015-07-16 10:18 - 006420480 _____ () C:\Program Files (x86)\GUT8BE4.tmp
2019-05-15 01:56 - 2019-05-15 01:56 - 006922240 _____ () C:\Program Files (x86)\GUTFDDD.tmp
PxMergeModule (HKLM-x32\...\{024521CF-C07E-4F8E-8481-0D75695E03AF}) (Version: 1.00.0000 - Your Company Name) Hidden
ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  -> Ningún archivo
BHO-x32: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll [2009-01-26] (Safer Networking Ltd. -> Safer Networking Limited)
BHO-x32: Sin Nombre -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Ningún archivo
Toolbar: HKU\S-1-5-21-3305915279-4216548775-2174266474-1005 -> Sin Nombre - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Ningún archivo
C:\Program Files (x86)\Spybot - Search & Destroy
C:\Windows\SysWOW64\NeroCheck.exe
C:\Program Files (x86)\AVG
C:\Program Files (x86)\Norton Family
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Users\Paula\AppData\Local\Google\Chrome\User Data\Default\Extensions\napjheenlliimoedooldaalpjfidlidp
C:\Users\Paula\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm
Folder: C:\Users\Paula\.afirma;C:\Windows\pss
File: C:\Windows\SysWOW64\acovcnt.exe
VirusTotal: C:\Windows\SysWOW64\acovcnt.exe

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.