Doble tilde

Creo que llevo dos semanas probando como deshacerme de este problema y no logro encontrar soluci´´on. He usado Windows defender y las versiones gratuitas de SUPERAntiSyware, adwcleaner y Malwarebytes.

FRST.txt (48,1 KB) Addition.txt (114,3 KB)

Agradecer´´ia pudiesen ayudarme a eliminar el bicho este … Un saludo y gracias de antemano.

1 me gusta

Hola buenas @Senior bienvenido al foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

Jjjejejej ya está el p4t0 bicho este haciendo de las suyas otra vez.

Pues el malware que tienes en tu máquina es difícil de eliminar o tiene, digamos que cierta persistencia en el sistema y por eso es más difícil de eliminarlo.

Herramientas como las que comentas no le harán anda de nada al bicho este.

Así que voy a atender este tema. Pues debemos ahora de utilizar una herramienta “un poco especial” para eliminar esos malwares que persisten.

Estos logs que has puesto son correctos y válidos para empezar el procedimiento de desinfección.

¿La unidad donde tienes instalado tu sistema operativo es la D en lugar de la C?

¿Para qué utilizas la unidad D?

Ya he revisado :eyes: así por encima de nuevo tu tema con todo lo nuevo que has traído.

Decirte que ya sé los puntos exactos donde radica tu infección del malware de la doble tilde. Pero tengo que asegurarme de no dejarme ningún cabo suelto, ya que estos temas tienen su complejidad y se tiene que analizar muchísima información de cada máquina. Más que nada para asegurar que todo va correctamente y que no nos dejemos bichos por el camino.

Tendría que mirar exhaustivamente los logs de FARBAR. Cosa que no he hecho por lo siguiente:

Los siguientes días no te podré dar continuidad, ya que dispondré de MUY poco tiempo (literalmente 0 tiempo).

Y tu caso requiere de más tiempo de lo normal debido a que es entretenido y complejo revisar los logs de FARBAR y no es algo que se haga LITERALMENTE en 5 minutos.

He tenido la mala suerte de estar enfermo unos días… por suerte he quedado bien. Se me han acumulado cosas y bueno, ahora tengo que sacarlas adelante SÍ o SÍ como SEA y el foro al ser uno de mis hobbies, pues bueno, ahora tengo MUY POCO tiempo para ello (pero en 5 días ya no será así).

Lo que sí te puedo asegurar es lo siguiente:

P.D.: A partir del Domingo día 14 de Julio podré seguir con el tema. Seguiremos con tu caso hasta el final. Hasta entonces, que vaya :+1:

Recuérdame en que te dé respuesta este Domingo. De todas formas voy a poner un reflote automático de este tema para el Domingo, así el sistema me avisará automáticamente y seguro que no se me pasará por alto.

P.D.: Cuando hayas leído todo esto, simplemente infórmame de ello en un mensaje en el mismo tema.

Salu2.

1 me gusta

Buenas noches MIXU, y gracias por la ayuda.

Te comento y aclaro un poco m´´as: El sistema operativo lo tengo en C, junto con la mayor´´ia de programas que en alg´´un momento he usado para formaci´´on o trabajo. Esta unidad solo se usa para programas pr´´acticamente. En D tengo todos los archivos de trabajo, formaci´´on, personales, juegos, etc. Luego tengo E una m´´aquina virtual que tengo actualmente en desuso. Y en F, es una partici´´on de copias de seguridad.

A recuperarse, que la salud es lo primero. Me lo anoto yo también para avisar el domingo. Un saludo, y gracias por la ayuda MIXU.

1 me gusta

Hola buenas @Senior

De nada.

Ok. Pues entonces ejecutas de nuevo el FARBAR pero desde tu escritorio de usuario de la unidad C.

Puedes adjuntar los informes directamente tal y como ya has hecho antes en tu primer mensaje. Es decir, como ficheros de texto (txt) adjuntados en el mensaje y ya está.

Para ello:

EN BUSCA / ELIMINACIÓN DE MALWARE

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64 bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas clic derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre o Yes.

  3. En la ventana principal del programa, presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 caracteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

P.D.:

De nada.

Ya estoy recuperado en gran parte, ya hago vida normal, me ha quedado alguna pequeña secuela, pero que se me irá en algunos días/semanas.

El problema es que se me han acumulado otras cosas que corren prisa y bueno… me puedo dedicar muy poco al foro y los temas con FARBAR/FRST requieren de tiempo, tiempo que no tengo ahora mismo.

Hasta el Domingo.

Salu2.

1 me gusta

Buenas tardes MIXU, te añado los ficheros y te escribo hoy para que sirva de recordatorio. Un saludo y gracias de antemano.

Addition.txt (115,3 KB)

FRST.txt (48,8 KB)

1 me gusta

Hola buenas @Senior

Ya estoy de vuelta… por fin.

Disculpa en que haya tardado un poco más en dar respuesta. Las cosas se me complicaron bastante y he quedado libre hace unas horas. Ya he editado tu mensaje, ya que no habías cargado correctamente los logs y no estaban disponibles para su visualización.

Tengo los informes, a lo largo de hoy los analizo y publico script.

Salu2.

Heyy @Senior en breves te actualizo tu tema. Al volver y tener todo de golpe, pues no doy el abasto.

No sé qué ha pasado, pero ahora iba a analizar tus logs a fondo y hace unos días los podía ver, pero ahora ya no, el sistema no me los deja ver, me dice que ya no existen y no puedo hacer nada para verlos, ya que ya no están, no sé por qué.

¿Puedes volverlos a poner por favor?

Gracias y seguimos.

Salu2.

Buenas tardes MIXU, claro que si.

Addition.txt (115,3 KB) FRST.txt (48,8 KB)

Gracias de antemano

1 me gusta

Hola buenas @Senior

Primero de todo mis disculpas por haber tardado tanto en responder. Todo se me complico y bueno… he podido ahora.

:zero: PREGUNTAS

:zero:.:zero:¿Tú has instalado en tu ordenador los siguientes programas o te suenan? Son estos:

Commandos 2 HD Remaster MULTi11 - ElAmigos versión 1.09 (HKLM-x32\...\{732D369C-C791-44DB-BCB4-9A99F22B58EF}_is1) (Version: 1.09 - Kalypso Media Digital)
Cost-It 2019.02 (HKLM-x32\...\{73DF78DD-A565-402F-900A-781847D11F45}) (Version: 19.02 - RIB Spain)
CTEHE2013 v1.0.1564.1124 (HKLM-x32\...\{6DDD4631-E97B-4F81-A3F1-9B4B6786851F}_is1) (Version:  - AICIA-GrupoTERMOTECNIA)
CTEHE2019 v2.0.2203.1160.348 (HKLM-x32\...\{0A5631DE-E8B8-4CD2-BD35-973B81036700}_is1) (Version:  - AICIA-GrupoTERMOTECNIA)
CYPE Ingenieros BIMserver.center Sync [BIMserver.center Sync] (HKLM\...\CYPE Ingenieros BIMserver.center Sync [BIMserver.center Sync]) (Version: 1.8.5 (x64) - CYPE Ingenieros)
CYPE Ingenieros Versión 2016 (Castellano) (HKLM-x32\...\CYPE Ingenieros Versión 2016 (Castellano)) (Version: Versión 2016 - CYPE Ingenieros)
CYPE Ingenieros Versión 2017 (Castellano) (HKLM-x32\...\CYPE Ingenieros Versión 2017 (Castellano)) (Version: Versión 2017 - CYPE Ingenieros)
CYPE Ingenieros Versión 2018 [CYPETHERM HE Plus] (HKLM-x32\...\CYPE Ingenieros Versión 2018 [CYPETHERM HE Plus]) (Version: Versión 2018 - CYPE Ingenieros)
CYPE Ingenieros Versión 2021 [CYPETHERM HE Plus (CTE 2019)] (HKLM\...\CYPE Ingenieros Versión 2021 [CYPETHERM HE Plus (CTE 2019)]) (Version: 2021.f (x64) - CYPE Ingenieros)
CYPE Ingenieros Versión 2021 [CYPETHERM HE Plus (CTE 2019)] -D: (HKLM\...\CYPE Ingenieros Versión 2021 [CYPETHERM HE Plus (CTE 2019)] -D:) (Version: 2021.b (x64) - CYPE Ingenieros)
CYPE Ingenieros Versión 2021 [IFC Builder] (HKLM\...\CYPE Ingenieros Versión 2021 [IFC Builder]) (Version: 2021.b (x64) - CYPE Ingenieros)
ENE_QSI_Loki_HAL (HKLM\...\{BDE43F26-5917-44F8-B86A-F1D9A6B80B32}) (Version: 1.0.3.0 - ENE TECHNOLOGY INC.) Hidden
ENE_QSI_Loki_HAL (HKLM-x32\...\{205ef3a8-937b-43cb-90fc-2f58f71408d8}) (Version: 1.0.3.0 - ENE TECHNOLOGY INC.) Hidden
Gyazo 4.1.2.0 (HKLM-x32\...\{6DB8C365-E719-4BA5-9594-10DFC244D3FD}_is1) (Version:  - Nota Inc.)
LIDER (HKLM-x32\...\LIDER) (Version:  - )
Sentinel Protection Installer 7.6.8 (HKLM-x32\...\{25F63CE2-4482-4926-9583-FE7A04E11F96}) (Version: 7.6.8 - SafeNet, Inc.)
Microsoft SQL Server
ALCPU (Arthur Liberman) >> Core Temp

:zero:.:one:¿Los descargaste del sitio oficial? ¿Son piratas :pirate_flag: :pirate_flag:? ¿O son legales? Dime el estado de cada uno… si es legal… pirata y si lo descargaste del sitio oficial o no.

He detectado en tu equipo los siguientes antivirus instalados o rastros de estos:

AVAST
Kaspersky
Windows Defender

:zero:.:two:Todo y que por el log me lo imagino… ¿Pero qué antivirus utilizas actualmente en tu equipo como protección residente? ¿Y qué Firewall?

:zero:.:three:¿Reconoces o te suena esta interfaz de red en tu máquina? Es esta:

Tcpip\..\Interfaces\{b06e69f9-f07b-49d9-884d-daa24e55793b}: [DhcpDomain] bbrouter

:zero:.:four:¿Por algunas cosas detectadas en tu máquina eres programador, informático en general o algo similar?

:one: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10, presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:

Unlock: C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd
Unlock: C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\"C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll"
Unlock: C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll

Folder: C:\Prest88
Folder: C:\Users\FRAN\AppData\Roaming\bGHGEBB
Folder: C:\ProgramData\hecbkea
Folder: C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd
Folder:C:\Program Files (x86)\Common Files\ExtraAuto
File: C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll;C:\ProgramData\hecbkea\Autoit3.exe;C:\Users\FRAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bGHGEBB.lnk;C:\ProgramData\BFCAAEHJDB.exe;C:\ProgramData\FHJDGHIJDG.exe;C:\ProgramData\IEBAAFCAFC.exe;C:\Program Files (x86)\unins000.dat;C:\Program Files (x86)\unins000.msg;C:\Program Files (x86)\unins001.dat;C:\Program Files (x86)\unins000.exe;C:\Program Files (x86)\unins001.exe;C:\Program Files (x86)\unins001.msg;C:\Program Files (x86)\unins002.dat;C:\Program Files (x86)\unins002.exe;C:\Program Files (x86)\unins003.dat;C:\Program Files (x86)\unins003.exe;C:\Program Files (x86)\unins004.dat;C:\Program Files (x86)\unins004.exe;C:\Program Files (x86)\unins005.dat;C:\Program Files (x86)\unins005.exe;C:\Program Files (x86)\unins005.msg
VirusScan: C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll;C:\ProgramData\hecbkea\Autoit3.exe;C:\Users\FRAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bGHGEBB.lnk;C:\ProgramData\BFCAAEHJDB.exe;C:\ProgramData\FHJDGHIJDG.exe;C:\ProgramData\IEBAAFCAFC.exe;C:\Program Files (x86)\unins000.dat;C:\Program Files (x86)\unins000.msg;C:\Program Files (x86)\unins001.dat;C:\Program Files (x86)\unins000.exe;C:\Program Files (x86)\unins001.exe;C:\Program Files (x86)\unins001.msg;C:\Program Files (x86)\unins002.dat;C:\Program Files (x86)\unins002.exe;C:\Program Files (x86)\unins003.dat;C:\Program Files (x86)\unins003.exe;C:\Program Files (x86)\unins004.dat;C:\Program Files (x86)\unins004.exe;C:\Program Files (x86)\unins005.dat;C:\Program Files (x86)\unins005.exe;C:\Program Files (x86)\unins005.msg

(rundll32.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\SysWOW64\rundll32.exe <2>
(svchost.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\rundll32.exe <2>
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restricción <==== ATENCIÓN
Startup: C:\Users\FRAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bGHGEBB.lnk [2024-06-07]
ShortcutTarget: bGHGEBB.lnk -> C:\ProgramData\hecbkea\Autoit3.exe (Ningún archivo)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
Task: {6D9FA43B-BDB6-442C-BCDC-A50552C43213} - System32\Tasks\Microsoft\Windows\DeviceDirectoryClient\Gtkyrkdfsc => C:\Windows\system32\RUNDLL32.exe [71680 2024-05-19] (Microsoft Windows -> Microsoft Corporation) -> C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\"C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll",Wib5pydev <==== ATENCIÓN
Task: {1B75F12C-42E0-45D9-8F45-DD8498AC9367} - System32\Tasks\Opera scheduled Autoupdate 1645966723 => C:\Users\FRAN\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Ningún archivo)
CustomCLSID: HKU\S-1-5-21-1649737624-4181922170-3126298985-1001_Classes\CLSID\{8be1f80b-ea9a-a1bc-858d-7f0b27518d4d2}\InprocServer32 -> 0x36ED8B4B90DAD401134C6189C967DA01710000004001000000000000 => Ningún archivo
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ningún archivo
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\Users\FRAN\Datos de programa:a4f3a4460331e5db92483d18f7474c91 [394]
AlternateDataStreams: C:\Users\FRAN\AppData\Roaming:a4f3a4460331e5db92483d18f7474c91 [394]
HKLM\...\StartupApproved\Run: => "pac"
FirewallRules: [UDP Query User{AFE24D5F-DA0A-4D59-9765-2BEA2C54D754}D:\juegos steam\steamapps\common\panzerball\windowsnoeditor\ball\binaries\win64\ball-win64-shipping.exe] => (Allow) D:\juegos steam\steamapps\common\panzerball\windowsnoeditor\ball\binaries\win64\ball-win64-shipping.exe => Ningún archivo
FirewallRules: [TCP Query User{94E7B76D-B1B4-410C-A633-24868C688FB5}D:\juegos steam\steamapps\common\panzerball\windowsnoeditor\ball\binaries\win64\ball-win64-shipping.exe] => (Allow) D:\juegos steam\steamapps\common\panzerball\windowsnoeditor\ball\binaries\win64\ball-win64-shipping.exe => Ningún archivo
FirewallRules: [{ADEDD448-43AE-433B-ACAB-3B50C03B96EE}] => (Allow) D:\JUEGOS STEAM\steamapps\common\PanzerBall\WindowsNoEditor\Ball.exe => Ningún archivo
FirewallRules: [{1CF49EB6-4B3C-408A-ACB3-C8ED946317C7}] => (Allow) D:\JUEGOS STEAM\steamapps\common\PanzerBall\WindowsNoEditor\Ball.exe => Ningún archivo
FirewallRules: [UDP Query User{08AFDA93-09EF-4355-A6C1-8BA8278EDE37}D:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) D:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Ningún archivo
FirewallRules: [TCP Query User{791594BC-A693-47C4-BB5E-FFA5E3783E8B}D:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) D:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Ningún archivo
FirewallRules: [{7DE51ED1-20BC-429F-9B00-0C8545D8C0B1}] => (Block) D:\program files (x86)\ultimaker cura 4.3\cura.exe => Ningún archivo
FirewallRules: [{5954D52F-3278-44E0-83CE-707CC6695074}] => (Block) D:\program files (x86)\ultimaker cura 4.3\cura.exe => Ningún archivo
FirewallRules: [UDP Query User{5AEE7249-F5EC-45E1-B2B5-ADA3CA58EF73}D:\program files (x86)\ultimaker cura 4.3\cura.exe] => (Allow) D:\program files (x86)\ultimaker cura 4.3\cura.exe => Ningún archivo
FirewallRules: [TCP Query User{2DB3D0EA-8FA9-47A5-9667-F604FF79FA7D}D:\program files (x86)\ultimaker cura 4.3\cura.exe] => (Allow) D:\program files (x86)\ultimaker cura 4.3\cura.exe => Ningún archivo
FirewallRules: [{F7DD0231-BF5A-4DFD-BB18-2ACDDEB0A0A5}] => (Block) C:\program files (x86)\presto 2019.02\win32\presto.exe => Ningún archivo
FirewallRules: [{39816A8E-2489-4BF4-ABBC-D56D666DA1E8}] => (Block) C:\program files (x86)\presto 2019.02\win32\presto.exe => Ningún archivo
FirewallRules: [UDP Query User{76A5ED95-A4CB-4302-A00A-72059A407F32}C:\program files (x86)\presto 2019.02\win32\presto.exe] => (Allow) C:\program files (x86)\presto 2019.02\win32\presto.exe => Ningún archivo
FirewallRules: [TCP Query User{E77477DB-AD04-48C6-A1DB-5D59C63A6E22}C:\program files (x86)\presto 2019.02\win32\presto.exe] => (Allow) C:\program files (x86)\presto 2019.02\win32\presto.exe => Ningún archivo
FirewallRules: [UDP Query User{BD0FF54A-13A3-4513-B65D-FFC770D48599}D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Ningún archivo
FirewallRules: [TCP Query User{C8A5FE30-9806-4E5A-9F5A-BC0E4F98DC2C}D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Ningún archivo
FirewallRules: [UDP Query User{F6B29FFC-A35C-4469-B596-8DD2847FA479}D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Ningún archivo
FirewallRules: [TCP Query User{94768BF1-A7E9-4A55-91BC-AEEE9CA98A76}D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\juegos steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Ningún archivo
FirewallRules: [{EE4FAE45-1CA3-4F6A-A112-61D0A8E142FF}] => (Allow) D:\JUEGOS STEAM\steamapps\common\PUBG\TslGame\Binaries\Win64\TslGame_BE.exe => Ningún archivo
FirewallRules: [{87F6CEC3-C6F7-47DA-9082-568CD365B080}] => (Allow) D:\JUEGOS STEAM\steamapps\common\PUBG\TslGame\Binaries\Win64\TslGame_BE.exe => Ningún archivo
FirewallRules: [UDP Query User{39342D3E-F87B-4519-9256-2344EA01AC99}D:\juegos steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\juegos steam\steamapps\common\counter-strike global offensive\csgo.exe => Ningún archivo
FirewallRules: [TCP Query User{CFC63233-950A-4FEB-ABB4-10066983F396}D:\juegos steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\juegos steam\steamapps\common\counter-strike global offensive\csgo.exe => Ningún archivo
FirewallRules: [UDP Query User{F74FA60A-A1EC-4B06-BD2E-6D0BC2E4E41D}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Ningún archivo
FirewallRules: [TCP Query User{687BB3EC-F370-4A47-80DB-C5A4F0550C15}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Ningún archivo
FirewallRules: [{5C4391DE-F475-4542-AF6A-17FD6499B3C2}] => (Allow) C:\CYPE Ingenieros\Versión 2018\programas\bimserv.exe => Ningún archivo
FirewallRules: [{ECE729C0-84BF-4E1D-8572-86402F6A3BB3}] => (Allow) C:\CYPE Ingenieros\Versión 2018\programas\bimserv.exe => Ningún archivo
FirewallRules: [{0635A7A4-5BC2-416F-B009-9DCCB492BE33}] => (Allow) C:\CYPE Ingenieros\Versión 2018\programas\CYPE 2018 (Castellano).exe => Ningún archivo
FirewallRules: [{95C32341-ECEF-42CC-8383-79287794EB8A}] => (Allow) C:\CYPE Ingenieros\Versión 2018\programas\CYPE 2018 (Castellano).exe => Ningún archivo
FirewallRules: [{A74FD34A-C89D-4E8C-86AD-3AFE8CDAD16B}] => (Allow) D:\Nueva carpeta\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Ningún archivo
FirewallRules: [{E7B36A03-E5C6-470E-9456-507F03E8B431}] => (Allow) D:\Nueva carpeta\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Ningún archivo
FirewallRules: [{C106139F-0153-4645-94A8-6551CE9CE101}] => (Allow) D:\JUEGOS STEAM\steamapps\common\Black Desert Online\Black Desert Online Steam Launcher.exe => Ningún archivo
FirewallRules: [{EE15EDB7-B24F-42F8-B160-82228A852AF0}] => (Allow) D:\JUEGOS STEAM\steamapps\common\Black Desert Online\Black Desert Online Steam Launcher.exe => Ningún archivo
FirewallRules: [{29EF4AA9-4AE5-49E5-8FF9-772EA82D7CE5}] => (Allow) D:\JUEGOS STEAM\steamapps\common\Eve Online\eve.exe => Ningún archivo
FirewallRules: [{843BFD04-0E4C-44DC-847C-0B1551F12871}] => (Allow) D:\JUEGOS STEAM\steamapps\common\Eve Online\eve.exe => Ningún archivo
FirewallRules: [{3A5EFB76-A4F6-4958-8AAB-0CA3808D6784}] => (Allow) C:\CYPE Ingenieros\Versión 2018\CYPETHERM HE Plus\CYPETHERM HE Plus.exe => Ningún archivo
FirewallRules: [{028C2A58-FE75-429A-81E8-E36E323171D2}] => (Allow) C:\CYPE Ingenieros\Versión 2018\CYPETHERM HE Plus\CYPETHERM HE Plus.exe => Ningún archivo
FirewallRules: [{028EF952-B500-41BD-A71A-6F2A034F8313}] => (Allow) C:\Program Files (x86)\BIMserver.center\BIMserver.center.exe => Ningún archivo
FirewallRules: [{A6F3A7E8-5DBA-4CFD-AF50-F104ABD1110D}] => (Allow) C:\Program Files (x86)\BIMserver.center\BIMserver.center.exe => Ningún archivo
FirewallRules: [TCP Query User{389DF441-3DAD-493E-A478-B6CEC065D188}C:\cype ingenieros\versión 2018\programas\cypecad.exe] => (Block) C:\cype ingenieros\versión 2018\programas\cypecad.exe => Ningún archivo
FirewallRules: [UDP Query User{E7B99E57-9DEC-4952-A6C3-B33BFE9448B0}C:\cype ingenieros\versión 2018\programas\cypecad.exe] => (Block) C:\cype ingenieros\versión 2018\programas\cypecad.exe => Ningún archivo
FirewallRules: [{0E0E3A08-8B86-4AE1-88A9-E86B3A98A408}] => (Allow) LPort=52082
FirewallRules: [{8BD4641C-BD3D-4FC5-BA31-45E7AE4DE09D}] => (Allow) LPort=5000
FirewallRules: [TCP Query User{6AAE59CF-938A-4978-9743-23C2D37D2CB6}C:\program files\twinmotion 2019\twinmotion\binaries\win64\twinmotion-win64-shipping.exe] => (Allow) C:\program files\twinmotion 2019\twinmotion\binaries\win64\twinmotion-win64-shipping.exe => Ningún archivo
FirewallRules: [UDP Query User{FA276C40-1246-4B0C-AC8D-961FF51C5DC9}C:\program files\twinmotion 2019\twinmotion\binaries\win64\twinmotion-win64-shipping.exe] => (Allow) C:\program files\twinmotion 2019\twinmotion\binaries\win64\twinmotion-win64-shipping.exe => Ningún archivo
FirewallRules: [TCP Query User{84D55EC0-E5CB-49B6-9F93-32B2250F2CD2}C:\program files\autofirma\autofirma\jre\bin\javaw.exe] => (Allow) C:\program files\autofirma\autofirma\jre\bin\javaw.exe => Ningún archivo
FirewallRules: [UDP Query User{E4293651-FDD9-43D5-AAAB-7D09A6DE2604}C:\program files\autofirma\autofirma\jre\bin\javaw.exe] => (Allow) C:\program files\autofirma\autofirma\jre\bin\javaw.exe => Ningún archivo
FirewallRules: [{C9804EE4-A996-48DE-8F36-47850208E098}] => (Allow) D:\CYPE Ingenieros\Versión 2020\CYPETHERM HE Plus\CYPETHERM HE Plus.exe => Ningún archivo
FirewallRules: [{00089D7E-DE6A-4E3B-BBDB-28EB4CDDF0EC}] => (Allow) D:\CYPE Ingenieros\Versión 2020\CYPETHERM HE Plus\CYPETHERM HE Plus.exe => Ningún archivo
FirewallRules: [TCP Query User{42BD1E69-ABE6-4DAA-AA1A-A370468946F6}E:9\gobi\binaries\wingdk\back4blood.exe] => (Allow) E:9\gobi\binaries\wingdk\back4blood.exe => Ningún archivo
FirewallRules: [UDP Query User{331707B9-D8B0-4D5A-B6B0-A60A05CC6F70}E:9\gobi\binaries\wingdk\back4blood.exe] => (Allow) E:9\gobi\binaries\wingdk\back4blood.exe => Ningún archivo
FirewallRules: [{C3DA8EB4-E753-44D5-9D96-F7ADBE5D7FA6}] => (Allow) C:\Users\FRAN\AppData\Local\Programs\Opera\84.0.4316.21\opera.exe => Ningún archivo
FirewallRules: [{5EB3329C-AC07-45AB-AC0E-38B58A2CFE84}] => (Allow) D:\FRAN\02 JUEGOS\TOWER OF FANTASY\Tower Of Fantasy\Hotta\Binaries\Win64\INTLWebViewHelper.exe => Ningún archivo
FirewallRules: [TCP Query User{8BC40F8C-1AC3-4C7B-AE99-B8F4C07ECEFE}D:\juegos steam\steamapps\common\eve online\launcher\loglite.exe] => (Allow) D:\juegos steam\steamapps\common\eve online\launcher\loglite.exe => Ningún archivo
FirewallRules: [UDP Query User{D7657CDA-3D9F-406B-B2F7-8F0EB3E23FAB}D:\juegos steam\steamapps\common\eve online\launcher\loglite.exe] => (Allow) D:\juegos steam\steamapps\common\eve online\launcher\loglite.exe => Ningún archivo
2017-09-29 15:45 - 2019-03-14 20:01 - 000004056 _____ C:\WINDOWS\system32\drivers\etc\hosts
0000-00-00 00:00 - 0000-00-00 00:00 - 000000000 _____ () [Acceso Denegado] C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll
2024-06-07 20:25 - 2024-06-07 20:25 - 003211264 _____ (as) C:\ProgramData\BFCAAEHJDB.exe
2024-06-05 23:00 - 2024-06-05 23:00 - 003211264 _____ (as) C:\ProgramData\FHJDGHIJDG.exe
2024-06-05 23:04 - 2024-06-05 23:04 - 003211264 _____ (as) C:\ProgramData\IEBAAFCAFC.exe
2024-07-12 18:49 - 2024-07-12 18:51 - 000000000 ___HD C:\$WinREAgent
C:\Users\FRAN\AppData\Roaming\bGHGEBB
C:\Users\FRAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bGHGEBB.lnk
C:\ProgramData\hecbkea\Autoit3.exe
C:\ProgramData\hecbkea
C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\"C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll"
C:\Program Files (x86)\Common Files\ExtraAuto\MultiSkpd\DDORmArrtmsiw.dll

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10, presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalicé, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal, compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas tardes y no problem, yo tampoco paro estos d´´ias. Voy respondiendo:

:zero:.:zero: Programas:

  • Commandos 2 HD Remaster MULTi11 - Juego del 2001. :pirate_flag:. Lo conozco.
  • Cost-It 2019.02 - Demo instalada en 2019, también lo conozco.
  • CTEHE2013 v1.0.1564.1124 - Programa versión legal y gratuita proporcionada por el gobierno, instalada en 2021.
  • CTEHE2019 v2.0.2203.1160.348 - Programa versión legal y gratuita proporcionada por el gobierno, instalada en 2021.
  • CYPE Ingenieros BIMserver.center Sync [BIMserver.center Sync] - Gratuito instalado en 2021.
  • CYPE Ingenieros Versión 2016 (Castellano) - :pirate_flag:. Lo conozco del 2020
  • CYPE Ingenieros Versión 2017 (Castellano) - :pirate_flag:. Lo conozco del 2021
  • CYPE Ingenieros Versión 2018 - Gratuito instalado en 2021.
  • CYPE Ingenieros Versión 2021 [CYPETHERM HE Plus (CTE 2019)] - Gratuito. 2021
  • CYPE Ingenieros Versión 2021 [CYPETHERM HE Plus (CTE 2019)] -D: - Gratuito. 2020
  • CYPE Ingenieros Versión 2021 [IFC Builder] - Gratuito, visualizador de modelos 3d.
  • ENE_QSI_Loki_HAL (HKLM.…{BDE43F26-5917-44F8-B86A-F1D9A6B80B32}) (Version: 1.0.3.0 - ENE TECHNOLOGY INC.) Hidden - ESTO NO SE QUE ES. :thinking:
  • ENE_QSI_Loki_HAL (HKLM-x32.…{205ef3a8-937b-43cb-90fc-2f58f71408d8}) (Version: 1.0.3.0 - ENE TECHNOLOGY INC.) Hidden - ESTO NO SE QUE ES. :thinking:
  • Gyazo 4.1.2.0. Lo conozco, del 2020.
  • LIDER - Gratuito. 2020
  • Sentinel Protection Installer 7.6.8 - ESTO NO SE QUE ES. :thinking:
  • Microsoft SQL Server - ESTO NO SE QUE ES. :thinking:
  • ALCPU (Arthur Liberman) >> Core Temp - Lo conozco. instalado en 2020

:zero:.:one: Los marcados como :pirate_flag:, utilizados varios años sin incidentes, para simulaciones y comprobaciones, al no poder obtener versión legal fuera del entorno laboral.

:zero:.:two: Actualmente solo tengo Windows Defender y el firewall propio del mismo que me conste, antes de contactar si he pasado SUPERAntiSpyware, adwcleaner y Malwarebytes sin resultados.

:zero:.:three: No me suena.

:zero:.:four: No soy inform´´atico, pero en varias ocasiones he iniciado alg´´un curso b´´asico de programaci´´on por curiosidad personal. En el curso que toquete´´e hace unos años no recuerdo que programas tuve que instalar, pero actualmente estoy haciendo uno con IntelliJ IDEA Community Edition 2024 descargado de p´´agina oficial.

:zero:.:five: : Duda m´´ia personal, en que escritorio tengo que realizar los pasos siguientes, en C o en D?, si da igual, mañana ejecuto e incluyo informe.

Un saludo y gracias de antemano.

1 me gusta

Buenas tardes MIXU, pues de momento parece que ha funcionado y se ha corregido. Traigo el fichero Fixlog.txt (150,0 KB)

Agradecería recomendación para evitar de nuevo esta situación, sistema o antivirus mas adecuado al que tengo instalado.

Me han saltado varias alertas de seguridad de Windows, entre otas para permitir que dos programas se comuniquen en redes privadas o públicas, las he dejado abiertas pendientes, una es DROPBOX y la otra LOGITECH GAMING FRAMEWORK.

Gracias por la ayuda, y a la espera de indicaciones por si quedan mas pasos que seguir. De nuevo gracias.

1 me gusta

Hola buenas ya estoy aquí de nuevo @Senior

He tenido algunos problemas familiares y 0 tiempo.

Sigamos pues…

OK.

Ya he leído tu anterior mensaje.

Mejor en el escritorio que se corresponda con el usuario con el que inicias la sesión en tu máquina, normalmente este suele pertenecer a la unidad C.

OK, lo imaginaba. Por eso hice el script que hice :wink: Todo correcto, pero tenemos que seguir.

OK, esto vendrá después. Primero a seguir con la desinfección de la máquina.

OK, en este caso puedes permitir ambas sin problemas.

De nada, sí, sí que quedan. Necesito logs frescos de FRST.

EN BUSCA / ELIMINACIÓN DE MALWARE

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64 bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas clic derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre o Yes.

  3. En la ventana principal del programa, presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 caracteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas tardes MIXU, adjunto de nuevo ambos ficheros: FRST.txt (125,3 KB) Addition.txt (91,2 KB)

1 me gusta

Hola buenas @Senior disculpa en que haya tardado en responder.

Sigamos…

Referente al primer fichero adjuntado que es: FRST.txt falta buena parte del fichero, pues este empieza por:

==================== Internet (Lista blanca) ====================

(Si un elemento es incluido en el fixlist, y éste pertenece al registro, será eliminado o restaurado a su valor predeterminado.)

Tcpip\..\Interfaces\{b06e69f9-f07b-49d9-884d-daa24e55793b}: [DhcpNameServer] 192.168.18.1
Tcpip\..\Interfaces\{b06e69f9-f07b-49d9-884d-daa24e55793b}: [DhcpDomain] bbrouter
Tcpip\..\Interfaces\{e45ea86f-5ab7-4191-bdfe-c13436b489dc}: [DhcpNameServer] 192.168.0.1

Y esto no es correcto, ya que tiene que empezar por:

Resultado del análisis realizado por Farbar Recovery Scan Tool (FRST) (x64) Versión: 13.07.2024
Ejecutado por FRAN (administrador) sobre FRANTORRE (14-07-2024 20:57:24)
Ejecutado desde C:\Users\FRAN\Desktop\FRST64.exe
Perfiles cargados: FRAN
Plataforma: Microsoft Windows 10 Pro N Versión 22H2 19045.4412 (X64) Idioma: Español (España, internacional)
Navegador predeterminado: FF
Modo de Inicio: Normal

==================== Procesos (Lista blanca) =================

(Si una entrada es incluida en el fixlist, el proceso será cerrado. El archivo no será movido.)

Traes el fichero FRST.txt correctamente y seguimos, pues el fichero Addition.txt es correcto.

Salu2.

Hola, buenas @Senior

¿Pudiste realizar algún avance acerca de lo que te dije?

¿Sigues necesitando ayuda acerca del problema qué comentaste inicialmente en este tema?

Me comentas y seguimos con el tema.

Salu2.

Buenas tardes MIXU, me fui de viaje el viernes pasado y acabo de llegar esta mañana.

La versión que tengo del día 29/07/24 comienza así, desconozco si lo he borrado yo al guardarlo por un algún error, pero no me suena haber seleccionado una parte. Tendría que sacar uno nuevo … que no sé si influye en algo.

He sacado de nuevo el analisis último, y me da lo siguiente:

FRST.txt (49,3 KB)

Addition.txt (92,2 KB)

1 me gusta

Hola buenas @Senior

Tranquilo no pasa nada. Espero que haya ido bien :wink:

Yo también estoy de vacaciones ahora y paso poco rato en la máquina.

OK, pues saca uno nuevo y ya está, no problema.

OK, en unas 24 horas aprox. + o - los analizo y seguimos.

Voy a poner un recordatorio automático para dentro de unas horas.

Salu2.

Buenas tardes MIXU, como lo ves? cuentame cuando puedas. Un saludo y gracias de antemano.