Doble tilde resistente

Hola, buenas @Fran23

PREGUNTAS

¿Tú has instalado en tu ordenador los siguientes programas o te suenan? Son estos:

iTop Screen Recorder (HKLM-x32\...\iTop Screen Recorder_is1) (Version: 3.4.0.1429 - iTop Inc.)
iTop Screenshot (HKLM-x32\...\iTop Screenshot_is1) (Version: 1.2.3.544 - iTop Inc.)
MegaDownloader 1.8 (HKLM\...\{C12C2297-65A4-4E64-9AE1-29F0D947FDA0}}_is1) (Version: 1.8 - megadownloaderapp.blogspot.com)
Paramount Ransomware Detector - BETA 0.5 version 0.5 (HKLM-x32\...\{EB3021B7-82D4-46B0-9EFE-1AE2DF9B39EA}_is1) (Version: 0.5 - Paramount Computer Systems FZ LLC)
YouTube By Click (HKLM-x32\...\{C93AEA12-5C6E-4C85-87C2-5B27B28208C6}) (Version: 2.2.139 - ByClick) Hidden
YouTube By Click (HKLM-x32\...\YouTube By Click 2.2.139) (Version: 2.2.139 - ByClick)
SmartFTP Client (HKLM\...\{B58DC11F-F803-404D-A84B-1BFB37AAF1FB}) (Version: 9.0.2818.0 - SmartSoft Ltd.)
SmartFTP Client Spanish (Spain, Traditional Sort) MUI (HKLM\...\{F83920AB-3DCC-423D-9483-F4672F03AD0E}) (Version: 9.0.2818.0 - SmartSoft Ltd.)

C:\Users\fflor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Banco Central de Costa Rica\Agente GAUDI.appref-ms [428 2023-12-20] () [File not signed]

¿Los descargaste del sitio oficial? ¿Son piratas ? ¿O son legales? Dime el estado de cada uno… si es legal… pirata y si lo descargaste del sitio oficial o no.

He detectado en tu equipo los siguientes antivirus instalados:

COMODO Antivirus
Windows Defender

Todo y que por el log me lo imagino… ¿Pero qué antivirus utilizas actualmente en tu equipo como protección residente? ¿Y qué Firewall?

También he detectado rastros de los siguientes Antivirus en tu máquina:

McAfee Security Scan

¿Los utilizaste en el pasado? ¿Los desinstalaste? Cuéntame todo acerca de estos…

DESINSTALACIÓN PROGRAMAS

Para los programas en que te diga: puedes quitarlos. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Quitas todos los programas que encuentre Revo con el nombre de Wondershare o Wondershare + Lo que sea. Aplicas lo mismo para IObit.

Pues en tu caso tienes instalados los siguientes:

IObit Uninstaller 12 (HKLM-x32\...\IObitUninstall) (Version: 12.1.0.5 - IObit)
Wondershare Filmora9(Build 9.5.0) (HKLM\...\Wondershare Filmora9_is1) (Version:  - Wondershare Software)
Wondershare Helper Compact 2.6.0 (HKLM-x32\...\{5363CE84-5F09-48A1-8B6C-6BB590FFEDF2}_is1) (Version: 2.6.0 - Wondershare)

Estos deben de quedar completamente desinstalados.

DESINSTALACIÓN EXTENSIONES

Para las extensiones en que te diga: puedes quitarlas. Hazlo así:

Accedes a Chrome y quitas las extensiones llamadas: Aeropost Plug-in y Safe Torrent Scanner.

Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

• Reinicias el ordenador en Modo Normal.

• Descargas DelFix en tu escritorio.

• Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

• Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

• Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

• Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:

Folder: C:\Users\fflor\AppData\Local\RecognitionMetadata\DrawProceby
Folder: C:\Users\fflor\AppData\Local\RecognitionMetadata
File: C:\ProgramData\lock.dat;C:\ProgramData\rc.dat;C:\ProgramData\ts.dat;C:\Users\fflor\WsaManagerForWindows\WsaService\WsaService.exe;C:\Users\fflor\.autoortho;C:\Users\fflor\AppData\Local\RecognitionMetadata\DrawProceby\CIM37mMedietdvt.dll
VirusScan: C:\ProgramData\lock.dat;C:\ProgramData\rc.dat;C:\ProgramData\ts.dat;C:\Users\fflor\WsaManagerForWindows\WsaService\WsaService.exe;C:\Users\fflor\.autoortho;C:\Users\fflor\AppData\Local\RecognitionMetadata\DrawProceby\CIM37mMedietdvt.dll

Unlock: C:\Users\fflor\AppData\Local\RecognitionMetadata\DrawProceby\CIM37mMedietdvt.dll

HKLM\...\Policies\Explorer: [AllowOnlineTips] 0
HKU\S-1-5-21-2411154662-1222630629-2652977314-1001\...\Policies\Explorer: [] 
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
IFEO\DeviceCensus.exe: [Debugger] %windir%\System32\taskkill.exe
IFEO\software_reporter_tool.exe: [Debugger] %windir%\System32\taskkill.exe
BootExecute: autocheck autochk *  
GroupPolicy: Restriction - Edge <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
Task: {0FDD0D86-6DDE-4375-A260-FA06C88B5948} - System32\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update\Microsoft.Security.ApplicationId.PolicyManagement.PSE32 => C:\Windows\system32\RUNDLL32.EXE [71680 2023-11-18] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\fflor\AppData\Local\RecognitionMetadata\DrawProceby\CIM37mMedietdvt.dll dhbpsCeeularMAR
C:\Users\fflor\AppData\Local\RecognitionMetadata\DrawProceby\CIM37mMedietdvt.dll
Task: {98B079AE-0456-4074-BF5F-6AEC1E03C1AD} - System32\Tasks\Uninstaller_SkipUac_fflor => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [9410568 2022-10-25] (IObit CO., LTD -> IObit) -> C:\Program Files (x86)\IObit\IObit Uninstaller\\/UninstallExplorer
CHR Extension: (Aeropost Plug-in) - C:\Users\fflor\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikghdpjeomecocjlnookmmgpegfaamgl [2020-12-08]
CHR Extension: (Safe Torrent Scanner) - C:\Users\fflor\AppData\Local\Google\Chrome\User Data\Default\Extensions\makcojoppodhcgmmchohadhpkicoafka [2020-08-21]
CHR HKLM-x32\...\Chrome\Extension: [makcojoppodhcgmmchohadhpkicoafka]
S3 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [167432 2022-10-20] (IObit CO., LTD -> IObit)
S2 OCButtonService; no ImagePath
U4 DcpSvc; no ImagePath
U4 NvTelemetryContainer; no ImagePath
U4 xbgm; no ImagePath
2024-05-11 13:10 - 2020-10-22 15:37 - 000000439 _____ C:\Windows\system32\Drivers\etc\hosts.ics
2024-05-10 14:23 - 2020-06-07 13:23 - 000000000 ____D C:\Users\fflor\AppData\Roaming\IObit
2024-05-10 14:23 - 2020-06-07 13:23 - 000000000 ____D C:\ProgramData\IObit
2024-05-10 14:23 - 2020-06-07 13:23 - 000000000 ____D C:\Program Files (x86)\IObit
FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2022-10-15] <==== ATTENTION (zero byte File/Folder)
ContextMenuHandlers1: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
ContextMenuHandlers4: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
ContextMenuHandlers6: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
0000-00-00 00:00 - 0000-00-00 00:00 - 000000000 _____ () [Access Denied] C:\Users\fflor\AppData\Local\RecognitionMetadata\DrawProceby\CIM37mMedietdvt.dll
AlternateDataStreams: C:\ProgramData:99ECC6809ABF3A3A [217]
AlternateDataStreams: C:\Windows\system32\escsvc64.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\E_GCINST.DLL:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\E_YD4BMTE.DLL:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\E_YLMBMTE.DLL:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\RtCOM64.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\RtDataProc64.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\RtkApi64U.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\RtkAudUService64.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\RtkCfg64.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\EpPicMgr.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\EpPicPrt.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\PICEntry.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\PICSDK.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\PICSDK2.dll:$CmdTcID [64]
AlternateDataStreams: C:\Users\All Users:99ECC6809ABF3A3A [217]
AlternateDataStreams: C:\ProgramData\Datos de programa:99ECC6809ABF3A3A [217]
2019-12-07 04:14 - 2024-02-10 04:41 - 000001031 _____ C:\Windows\system32\drivers\etc\hosts
2020-10-22 15:37 - 2024-05-11 13:10 - 000000439 _____ C:\Windows\system32\drivers\etc\hosts.ics
FirewallRules: [{F122A9E5-6B9E-48D8-92C6-FA2669F60FAB}] => (Allow) LPort=55558
FirewallRules: [{874B3FBC-A372-4555-B154-C062BCD50577}] => (Allow) LPort=60000
FirewallRules: [{A665F184-6A01-4E20-9ECC-0CA459D1A9D4}] => (Allow) LPort=55556

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.