Primero de todo disculpa que haya tardado en responder @T0rito . Pues últimamente voy con muy poco tiempo para el foro y es normal.
T0rito:
Perdón pero que programas serian esos, le comento que formatie mi maquina, gracias por todo, solo que tuve hacerlo por urgencia para otros trabajos, gracias otra vez, hasta la proxima.
De nada, pues nada… ya nada importa si formateaste pues nada. Pero comentarte que esto:
bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) HiddenEs malware muy bien escondido en tu sistema, difícilemnte detectable y estaba oculto para que no se pueda quitar del sistema operativo, esto lo indica la palabra Hidden (la utiliza tanto malware como programas legítimos). Así que con el Script que te puse hacía muchas más cosas, pero una de ellas era des-ocultar las entradas de estos dos malwares y hacerlos visibles en el sistema para después poderlos quitar/desinstalar.
En estas otras entradas ya son visibles en el sistema, ya que no sale la palabra: Hidden .
bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name)
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name)Así que respondiendo a:
Pues me refería a estos que te he comentado, más estos otros:
Advanced SystemCare (HKLM-x32\...\Advanced SystemCare_is1) (Version: 14.3.0 - IObit)
Driver Booster 8 (HKLM-x32\...\Driver Booster_is1) (Version: 8.4.0 - IObit)
iSkysoft Helper Compact 2.5.2 (HKLM-x32\...\{9BF12010-8799-41A5-A671-E9CFDE9E79F3}_is1) (Version: 2.5.2 - iSkysoft)
iSkysoft PDF Editor 6 Pro(Build 6.3.3) (HKLM-x32\...\{6018D2AA-9F85-41A6-8F2D-9D9528555457}_is1) (Version: 6.3.3.2782 - iSkysoft Studio)Pero como decía… ya nada importa si formateaste pues nada, ya da todo igual, nada ya es importante.
Lo único que piensa que hacer este Script Y toda la anterior respuesta:
Marr0n:
Efectivamente, como pensaba quedan restos y evidencias de malware en tu máquina que deben de ser erradicados.
PREGUNTAS
Reconoces estos dos:
2021-11-13 23:33 - 2021-11-13 23:33 - 000122208 _____ (Real Sound Lab SIA) C:\Windows\system32\CONEQMSAPOGUILibrary.dll
Energy Management (HKLM-x32…\InstallShield_{D0956C11-0F60-43FE-99AD-524E833471BB}) (Version: - )
DESINSTALACIÓN PROGRAMAS
Para los programas en que te diga: puedes quitarlos. Hazlo así:
Desinstalalos con Revo Uninstaller en su Modo Avanzado . Para ello sigues su manual la parte de desinstalación de programas.
Quitas todos los programas que te diga Yo con el Revo .
Pues serían los siguientes:
Advanced SystemCare (HKLM-x32\...\Advanced SystemCare_is1) (Version: 14.3.0 - IObit)
Driver Booster 8 (HKLM-x32\...\Driver Booster_is1) (Version: 8.4.0 - IObit)
iSkysoft Helper Compact 2.5.2 (HKLM-x32\...\{9BF12010-8799-41A5-A671-E9CFDE9E79F3}_is1) (Version: 2.5.2 - iSkysoft)
iSkysoft PDF Editor 6 Pro(Build 6.3.3) (HKLM-x32\...\{6018D2AA-9F85-41A6-8F2D-9D9528555457}_is1) (Version: 6.3.3.2782 - iSkysoft Studio)
Estos deben de quedar completamente desinstalados.
COPIA DE SEGURIDAD DEL REGISTRO , para ello:
Reinicias el ordenador en Modo Normal .
Descargas DelFix en tu escritorio .
Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)
Marcas solamente la casilla de Create registry backup , el resto te aseguras de que no estén seleccionadas.
Presionas en Run .
Se abrirá el informe (DelFix.txt ), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.
Seguidamente, CIERRAS TODOS LOS PROGRAMAS , vas a Inicio >> Ejecutar y escribes Notepad.exe
Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad .
START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\ProgramData\ProductData
Folder: C:\Windows\SysWOW64\RTCOM
Folder: C:\Windows\registration
File: C:\Windows\system32\BrNetSti.dll;C:\Windows\system32\BrSNMP64.dll;C:\Windows\explorer.exe;C:\Users\PedAngGV\AppData\Roaming\kgegetk.dat;C:\Users\PedAngGV\AppData\Roaming\inst.exe;C:\Windows\explorer.exe;C:\WPI_Log.txt
VirusTotal: C:\Windows\system32\BrNetSti.dll;C:\Windows\system32\BrSNMP64.dll;C:\Windows\explorer.exe;C:\Users\PedAngGV\AppData\Roaming\kgegetk.dat;C:\Users\PedAngGV\AppData\Roaming\inst.exe;C:\Windows\explorer.exe;C:\WPI_Log.txt
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Ningún archivo)
HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Ningún archivo)
HKU\S-1-5-21-1264854543-508359185-2951099918-1000\...\MountPoints2: F - F:\WPI.exe
HKU\S-1-5-21-1264854543-508359185-2951099918-1000\...\MountPoints2: G - G:\WPI.exe
HKU\S-1-5-21-1264854543-508359185-2951099918-1000\...\MountPoints2: {272f5257-1bf0-11ec-8816-8ca9827a74f4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1264854543-508359185-2951099918-1000\...\MountPoints2: {f370e32c-19c5-11ec-bd61-8ca9827a74f4} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1264854543-508359185-2951099918-1000\...\MountPoints2: {f370e343-19c5-11ec-bd61-8ca9827a74f4} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1264854543-508359185-2951099918-1000\...\MountPoints2: {f370e347-19c5-11ec-bd61-8ca9827a74f4} - F:\HiSuiteDownLoader.exe
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicy: Restricción ? <==== ATENCIÓN
GroupPolicy\User: Restricción ? <==== ATENCIÓN
Policies: C:\Users\PedAngGV\NTUSER.pol: Restricción <==== ATENCIÓN
Task: {4C3EEF04-D3A3-4476-857D-70B1D496AEF6} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-1264854543-508359185-2951099918-1000 => C:\Users\PedAngGV\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe (Ningún archivo)
Task: {A538B095-00BC-4E26-A8D4-9A7EA800E74D} - System32\Tasks\TVT\TVSUUpdateTask => C:\Program Files (x86)\Lenovo\System Update\tvsuShim.exe /CM -search R -action INSTALL -includerebootpackages 1,3,4,5 -noicon -noreboot -nolicense -defaultupdate -schtask (Ningún archivo)
Task: {B0215B27-B2CA-4684-8F7D-7D6CC259E6F1} - System32\Tasks\TVT\TVSUUpdateTask_UserLogOn => C:\Program Files (x86)\Lenovo\System Update\tvsuShim.exe PendingTask (Ningún archivo)
Task: {BE77DB19-B200-4791-9296-3D8F5B49007A} - System32\Tasks\CCleanerSkipUAC - PedAngGV => C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (Ningún archivo)
U4 dcpsvc; no ImagePath
U4 DiagTrack; no ImagePath
U4 dmwappushservice; no ImagePath
U4 ekrn; no ImagePath
S3 NPF; system32\drivers\NPF.sys [X]
U5 WinDefend; no ImagePath
2021-11-06 14:04 - 2021-11-13 23:31 - 000000000 ____D C:\ProgramData\ProductData
2020-09-30 05:49 - 2020-09-30 05:49 - 012329304 ___SH (AIMP DevTeam) C:\Program Files (x86)\Common Files\~oxtcmba.tmp
2020-09-26 09:51 - 2020-09-23 05:52 - 024568520 ___SH (Piriform Software Ltd) C:\Program Files (x86)\Common Files\~wvegkgo.tmp
2021-01-13 12:58 - 2021-01-13 12:58 - 019200276 ___SH (Piriform Software Ltd ) C:\Program Files (x86)\Common Files\~xvoydsq.tmp
2021-09-09 01:41 - 2021-09-09 01:46 - 000001651 _____ () C:\Users\PedAngGV\AppData\Local\~libmxlh.tmp
ShellServiceObjects: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} =>
ShellServiceObjects-x32: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} =>
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT , ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO .
Me llevo un rato, no se hacen Scripts como este por arte de magia ni tampoco te creas que tengo un programa que me los hace solos. De haberlo sabido, hubiese podido emplear ese tiempo en ayudar algún otro caso del foro del algún otro user con problemas que SÍ que esté dispuesto en llegar hasta el final. De todas formas, entiendo que necesitases operativa la máquina.
Gracias por confiar en ForoSpyware .
No olvides de marcar el tema como Solucionado . Para ello miras el enlace que te he pasado y marcas como solución mi última respuesta.
Como consejo/apunte final , te invito a que nos sigas en nuestras redes sociales para estar al tanto y prevenido de los nuevos tipos de malwares y de otros temas relacionados que puedan ser de tu interés.
Blog
Twitter
Facebook
Salu2.