Behavior:Win32/NotepadInject.SA

Eliminar Malwares
7

Hola buenas @Soyban

Sí. Todo correcto.

OK.

Por cierto, veo que tienes varios tipos de malwares en tu máquina. Así que la advertencia que te sale, te confirmo que la máquina sí que está infectada. Algunos de estos malwares estan vivos y otros quedan rastros o en partes del sistema.

:zero: PREGUNTAS

Reconoces haber instalado estos programas en tu sistema. Dime línea a línea (programa por programa):

Minimal ADB and Fastboot version 1.4.3 (HKLM-x32\...\{B561660D-8B3C-491D-9E3E-293F14FCAADA}_is1) (Version: 1.4.3 - Samuel Rodberg)
Presto 2020.01 (HKLM-x32\...\{60BBA2FB-C2BA-46A0-A22F-53D9F7D73CF8}) (Version: 20.01 - RIB Spain)
Presto 8.8 (HKLM-x32\...\{099EA4F2-0BE8-443B-B6EE-2B8FDF035DC0}) (Version:  - )
Safe Exam Browser (HKLM-x32\...\{f563926a-aa7d-401d-bf79-916977e43175}) (Version: 3.1.1.250 - ETH Zürich)
Safe Exam Browser (x64) (HKLM\...\{073C0197-FAED-4FA7-9D70-980024CE7438}) (Version: 3.1.1.250 - ETH Zürich) Hidden
WinPcap 4.1.3 (HKLM-x32\...\WinPcapInst) (Version: 4.1.0.2980 - Riverbed Technology, Inc.)
Dolby Atmos for Gaming -> C:\Program Files\WindowsApps\DolbyLaboratories.DolbyAtmosforGaming_3.20500.501.0_x64__rz1tebttyb220 [2022-07-26] (Dolby Laboratories)
WinPcap 4.1.3 (HKLM-x32\...\WinPcapInst) (Version: 4.1.0.2980 - Riverbed Technology, Inc.)

Reconoces haber instalado esta extensión en CHROME:

CHR Extension: (TUK Player) - C:\Users\34653\AppData\Local\Google\Chrome\User Data\Default\Extensions\maagmnodfdojabjbjhkbnbheenakpheo [2021-04-28]

Dime si has utilizado o instalado estos programas de “seguridad/exterminio”:

ESET Online Scanner
Bitdefender
Rkill
UnHackMe

:one: DESINSTALACIÓN

Para los programas en que te diga: los quitas. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Quitas el programa que encuentre Revo con el nombre: UnHackMe o algo parecido (Greatis Software LLC o Greais Software) o parecidos. En caso de no encontrarlo con el Revo, pues sigues con los siguientes pasos.

También eliminarás los siguientes programas con sus herramientas específicas de desinstalación. Estos son:

Bitdefender

Para ello utilizas la siguiente guía: Herramientas de desinstalación de Antivirus, AntiSpyware y Firewall más cocnretamente el siguiente apartado: Herramientas de desinstalación de Antivirus, AntiSpyware y Firewall (Pasos a seguir para una correcta desinstalación y/o limpieza de rastros).

Descargas la herramienta específica que es: https://www.bitdefender.com/files/KnowledgeBase/file/BitDefender_Uninstall_Tool_x64.exe (Descarga de BitDefender Uninstall Tool 64 bits).

:two: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\Users\34653\Desktop\Trojjj
Folder: C:\testintel3
Folder: C:\@RestoreQuarantine
Folder: C:\Dist
Folder: C:\Users\34660
Folder: C:\Users\34653
Folder: C:\Program Files (x86)\Auropro4
Folder: C:\Program Files (x86)\Advanced System Repair Pro 1.9.8.3.0
File: C:\WINDOWS\system32\SPITDevMft64.dll;C:\WINDOWS\system32\pnpdiag.dll;C:\testintel3\autoit.exe;C:\Windows\System32\dolbyaposvc\DAX3API.exe;C:\Program Files\Common Files\Dolby\DAX3\RADARHOST\DSRHost.exe;C:\Program Files\SafeExamBrowser\Service\SafeExamBrowser.Service.exe
VirusTotal: C:\WINDOWS\system32\SPITDevMft64.dll;C:\WINDOWS\system32\pnpdiag.dll;C:\testintel3\autoit.exe;C:\Windows\System32\dolbyaposvc\DAX3API.exe;C:\Program Files\Common Files\Dolby\DAX3\RADARHOST\DSRHost.exe;C:\Program Files\SafeExamBrowser\Service\SafeExamBrowser.Service.exe

HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2628076097-899198543-139089765-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\34653\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Ningún archivo)
HKU\S-1-5-21-2628076097-899198543-139089765-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\34653\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Ningún archivo)
HKU\S-1-5-21-2628076097-899198543-139089765-1001\...\RunOnce: [Uninstall 22.141.0703.0002] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\34653\AppData\Local\Microsoft\OneDrive\22.141.0703.0002" (Ningún archivo)
HKU\S-1-5-21-2628076097-899198543-139089765-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-2628076097-899198543-139089765-1002\...\Run: [GoogleDriveFS] => "C:\Program Files\Google\Drive File Stream\60.0.2.0\GoogleDriveFS.exe" --startup_mode (Ningún archivo)
HKU\S-1-5-21-2628076097-899198543-139089765-1002\...\Policies\Explorer: [] 
Startup: C:\Users\34653\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4f34d6c6.lnk [2022-04-07]
ShortcutTarget: 4f34d6c6.lnk -> C:\testintel3\autoit.exe (AutoIt Consulting Ltd -> AutoIt Team)
Startup: C:\Users\34660\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GenuineService.lnk [2019-12-04]
ShortcutTarget: GenuineService.lnk -> C:\Users\34653\Autodesk\Genuine Service\GenuineService.exe (Ningún archivo)
BootExecute: autocheck autochk * 씂⼧刀耀郜甀ᡈ甁
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Ningún archivo)
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
FF HKU\S-1-5-21-2628076097-899198543-139089765-1001\...\Firefox\Extensions: [[email protected]] - C:\Users\34653\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => no encontrado
FF Plugin HKU\S-1-5-21-2628076097-899198543-139089765-1001: @acestream.net/acestreamplugin,version=3.1.32 -> C:\Users\34653\AppData\Roaming\ACEStream\player\npace_plugin.dll [Ningún archivo]
CHR Notifications: Default -> hxxps://web.telegram.org; hxxps://www.cam4.es; hxxps://www.reddit.com
R2 BdDci; C:\WINDOWS\system32\DRIVERS\bddci.sys [367096 2021-10-09] (Bitdefender SRL -> Bitdefender)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2022-08-10 10:25 - 2022-08-10 10:25 - 000000000 ___HD C:\$WinREAgent
2022-08-03 18:39 - 2022-08-21 18:50 - 000012288 ___SH C:\DumpStack.log.tmp
2022-08-03 18:39 - 2022-08-03 18:39 - 001000012 _____ C:\WINDOWS\Minidump\080322-19343-01.dmp
2022-08-03 17:27 - 2022-08-03 18:39 - 2421062790 _____ C:\WINDOWS\MEMORY.DMP
2022-08-03 17:27 - 2022-08-03 17:27 - 000981572 _____ C:\WINDOWS\Minidump\080322-13437-01.dmp
2022-08-03 09:19 - 2022-08-03 16:46 - 000000000 ____D C:\Program Files (x86)\UnHackMe
2022-08-03 09:19 - 2022-08-03 14:55 - 000000000 ____D C:\Users\Public\Documents\RegRunInfo
2022-08-03 09:19 - 2022-08-03 14:55 - 000000000 ____D C:\Users\34653\AppData\Local\UnHackMe
2022-07-28 19:36 - 2022-08-03 08:49 - 000000000 ____D C:\Program Files (x86)\Advanced System Repair Pro 1.9.8.3.0
2022-07-25 10:19 - 2021-03-07 18:46 - 000000000 ____D C:\Users\34653\AppData\Roaming\Lavasoft
2022-07-25 10:19 - 2021-03-07 18:46 - 000000000 ____D C:\Users\34653\AppData\Local\Lavasoft
2022-07-25 10:19 - 2021-03-07 18:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2022-07-25 10:19 - 2021-03-07 18:45 - 000000000 ____D C:\ProgramData\Lavasoft
2022-07-25 10:19 - 2021-03-07 18:45 - 000000000 ____D C:\Program Files (x86)\Lavasoft
C:\testintel3
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  -> Ningún archivo
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [466]
IE trusted site: HKU\S-1-5-21-2628076097-899198543-139089765-1002\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{FFA94859-414F-4C0C-9D93-7780A1BE8FF8}] => (Allow) C:\Users\34660\AppData\Local\Apowersoft\Apowersoft Online Launcher\Apowersoft Online Launcher.exe => Ningún archivo
FirewallRules: [{F2E2912E-E92E-4843-9703-2CB805EA3B1C}] => (Allow) C:\Users\34660\AppData\Local\Apowersoft\Apowersoft Online Launcher\Apowersoft Online Launcher.exe => Ningún archivo
CHR Extension: (TUK Player) - C:\Users\34653\AppData\Local\Google\Chrome\User Data\Default\Extensions\maagmnodfdojabjbjhkbnbheenakpheo [2021-04-28]

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.