Eliminar Virus, posible infección


#25

Hola de nuevo @Huesoro

Primero, discúlpa por la demora

Una duda ¿Instalaste alguna vez algún programa convertidor llamado “Wondershare” por causualidad?

Nos comentas

Saludos


#26

Si, pero este lo instale posterior a la infección, es un editor de video, fue de la pagina oficial, para el programa Filmora 9


#27

Hola de nuevo @Huesoro

Una duda

  1. ¿Es tu PC un ASUS? Si es así ¿Utilizaste los medios del fabricante para llevar a cabo el proceso?
  2. ¿Has formateado el disco duro externo? Si fué así ¿Fué antes de abrir el tema?
  3. ¿Aún aparece ese mensaje que nos indicaste al principio luego de (ese que el disco era propiedad de S-1-5-21-767254285-3586098769-3745675886-1001)? Si formateaste el disco externo ¿Ese mensaje volvió a aparecer?
  4. ¿Utilizaste ese disco externo para mover datos al disco duro después del formateo del equipo?

Nos comentas

Saludos


#28

Para el formateo use el de windows, no sabia que Asus tenia opción de formateo.

Si, el disco externo lo formatee antes de abrir el tema

No habia vuelto a conectar el disco al pc hasta que me lo pidieron y realmente no lo cheque, pero cuando lo formatee en otra pc no aparecía

Y no, no pase datos al disco duro


#29

Hola de nuevo @Huesoro

Ahora sigue estos pasos, :arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe(en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla :white_check_mark: Create registry backup, las demás casillas NO. :face_with_monocle:

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

:warning: Con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
Start
CreateRestorePoint:
CloseProcesses:

HKLM-x32\...\Run: [] => [X]
SearchScopes: HKU\S-1-5-21-767254285-3586098769-3745675886-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-767254285-3586098769-3745675886-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR Extension: (Chrome Media Router) - C:\Users\rkale\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-12-30]
S3 cpuz143; \??\C:\WINDOWS\temp\cpuz143\cpuz143_x64.sys [X]
HKU\S-1-5-21-767254285-3586098769-3745675886-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [19589208 2018-12-10] (Piriform Software Ltd)
2019-01-07 17:42 - 2019-01-07 17:43 - 101249024 _____ C:\WINDOWS\system32\config\COMPONENTS.iobit
2019-01-07 17:42 - 2019-01-07 17:42 - 113516544 _____ C:\WINDOWS\system32\config\SOFTWARE.iobit
2019-01-07 17:42 - 2019-01-07 17:42 - 000864256 _____ C:\WINDOWS\system32\config\DEFAULT.iobit
2019-01-07 17:42 - 2019-01-07 17:42 - 000045056 _____ C:\WINDOWS\system32\config\SAM.iobit
2019-01-07 17:42 - 2019-01-07 17:42 - 000032768 _____ C:\WINDOWS\system32\config\SECURITY.iobit
2019-01-07 17:37 - 2019-01-08 10:08 - 000000000 ____D C:\Users\rkale\AppData\LocalLow\IObit
2019-01-07 17:36 - 2019-01-08 10:08 - 000000000 ____D C:\Users\rkale\AppData\Roaming\IObit
2019-01-07 17:36 - 2019-01-08 10:08 - 000000000 ____D C:\ProgramData\IObit
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
Task: {40E4B5E4-4805-4B60-AAFB-DE4608B3A78A} - System32\Tasks\ASC12_SkipUac_rkale => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe
Task: {61BACA71-6E29-49F4-9BE0-1AF68F37CC9E} - System32\Tasks\ASC12_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe
HKU\S-1-5-21-767254285-3586098769-3745675886-1001\...\StartupApproved\Run: => "Advanced SystemCare 12"
AlternateDataStreams: C:\Users\rkale\AppData\Local\Temp:$DATA [16]

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe(Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).

  • Presionar el botón FIX y aguardar a que termine.

  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pegar el contenido de este fichero en tu próxima respuesta. :+1:

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Saludos.