Hola, buenas @Leku.
PREGUNTAS
¿Tú has instalado en tu ordenador los siguientes programas o te suenan? Son estos:
Allavsoft 3.24.0.7961 (HKLM-x32\...\{6EBED4D8-13D9-4370-8D44-B57DDB7A787C}_is1) (Version: - Allavsoft Corporation)
AOMEI Partition Assistant 9.4 (HKLM-x32\...\{02F850ED-FD0E-4ED1-BE0B-54981f5BD3D4}_is1) (Version: - AOMEI International Network Limited.)
Botsol Crawler (HKLM-x32\...\{8BACC5B7-60EC-4FE0-81C8-F75B29CAC3A2}) (Version: 8.0 - Botsol)v0hfz8pc
GridinSoft Anti-Malware (HKLM\...\GridinSoft Anti-Malware) (Version: 4.2.14 - Gridinsoft LLC)
MalwareFox AntiMalware (HKLM-x32\...\{8F0CD7D1-42F3-4195-95CD-833578D45057}_is1) (Version: 2.74.0.150 - Wolf of Webstreet OPC Private Limited)
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.8.68.0 - Safer-Networking Ltd.)
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 10.0.1238 - SUPERAntiSpyware.com)
¿Los descargaste del sitio oficial? ¿Son piratas 
? ¿O son legales? Dime el estado de cada uno… si es legal… pirata y si lo descargaste del sitio oficial o no.
He detectado en tu equipo los siguientes antivirus instalados:
AV: Spybot - Search and Destroy (Enabled - Up to date) {F77C7796-45C4-531E-0DAE-B4A8229B11C8}
AV: Bitdefender Antivirus (Disabled - Up to date) {BAD274F4-FA00-8560-1CDE-6C830442BEFA}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG Antivirus (Enabled - Up to date) {A3C8941D-8036-3856-D9BB-709D4A2A7EAC}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Bitdefender Cortafuego (Enabled) {82E9F5D1-B06F-8438-3781-C5B6FA91F981}
Todo y que por el log me lo imagino… ¿Pero qué antivirus utilizas actualmente en tu equipo como protección residente? ¿Y qué Firewall?
DESINSTALACIÓN PROGRAMAS
Para los programas en que te diga: puedes quitarlos. Hazlo así:
Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.
Pues en tu caso tienes instalados los siguientes:
IObit Uninstaller 11 (HKLM-x32\...\IObitUninstall) (Version: 11.1.0.18 - IObit)
Smart Defrag 6 (HKLM-x32\...\Smart Defrag_is1) (Version: 6.4.5 - IObit)
Wondershare PDFelement(Build 7.6.8) (HKLM-x32\...\{77078E40-A92E-47FD-A0F6-168A4BF6CF3A}_is1) (Version: 7.6.8.5031 - Wondershare Software Co.,Ltd.)
Estos deben de quedar completamente desinstalados.
DESINSTALACIÓN EXTENSIONES
Para las extensiones en que te diga: puedes quitarlas. Hazlo así:
Accedes a Chrome y quitas la extensión llamada ySpellWeb
En este caso quitas la extensión tal y como se indica en el siguiente enlace:
https://www.howtogeek.com/140464/how-to-manually-uninstall-a-globally-installed-chrome-extension/
Aplicas lo mismo pero para Opera. Eso es:
Accedes a Opera y quitas la extensión llamada ySpellWeb, deberiá de funcionar el mismo procedimiento para CHROME. Me informas de ello como ha ido.
También dime si Firefox tiene dicha extensión o sino la tiene.
Sube este ficheros a VirusTotal para ello te recomiendo que sigas Manual VirusTotal:
C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
Y me traes el correspondiente análisis. Para ello adjuntas la dirección web/URL en tu próxima respuesta.
Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:
-
Reinicias el ordenador en Modo Normal.
-
Descargas DelFix en tu escritorio.
-
Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)
-
Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.
-
Presionas en Run.
Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.
Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe
- Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\ProgramData\Rerccj
Folder: C:\ProgramData\LiteSuse
File: C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
VirusTotal: C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {003c046e-76a3-11ea-a7f1-b05adaeb7818} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {7cd2526a-f3ba-11eb-a850-a4c4943f258b} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {81e54a79-45a8-11ec-a86a-a4c4943f258b} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {c54fb6b5-de2e-11eb-a849-a4c4943f258b} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {f033edc5-dd89-11eb-a848-a4c4943f258b} - "E:\HiSuiteDownLoader.exe"
BootExecute: autocheck autochk * bddel.exesdnclean64.exe
Task: {8B5FDBB7-6903-48CF-A605-15A8BFD714C3} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK
Task: {B791A3E4-AD06-4BB0-9295-05ECD4C30099} - System32\Tasks\Microsoft\Windows\Bluetooth\MXEAgWIZ => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /unregister C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2021-11-25] <==== ATENCIÓN (Apunta a archivo *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2021-11-25] <==== ATENCIÓN
CHR Extension: (ySpellWeb) - C:\ProgramData\Rerccj\Xlbbz [2021-11-29]
OPR Extension: (ySpellWeb) - C:\ProgramData\Rerccj\Xlbbz [2021-11-29]
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2021-03-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2021-03-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X]
CustomCLSID: HKU\S-1-5-21-1739314480-4207500633-2825667379-1001_Classes\CLSID\{75f92b33-bbaa-b4b4-04ac-a7c07959e5a66}\InprocServer32 -> 0x4B0F11C2EF89D501622095AAC78AD501020000002C00000000000000 => Ningún archivo
CustomCLSID: HKU\S-1-5-21-1739314480-4207500633-2825667379-1001_Classes\CLSID\{9486aaf1-0930-362a-962d-8e6908739c817}\InprocServer32 -> 0xDA0A49606488D5011A7C0CC2EF89D501030000001A00000000000000 => Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Ningún archivo
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Ningún archivo
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Ningún archivo
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Ningún archivo
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Ningún archivo
ContextMenuHandlers1: [Foxit_ConvertToPDF] -> {C5269811-4A29-4818-A4BB-111F9FC63A5F} => -> Ningún archivo
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Ningún archivo
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Ningún archivo
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Ningún archivo
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Ningún archivo
ShortcutWithArgument: C:\Users\User\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
C:\ProgramData\Rerccj\Xlbbz\16887754
AlternateDataStreams: C:\ProgramData\TEMP:960C67A0 [129]
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [94]
AlternateDataStreams: C:\ProgramData\TEMP:FC595E85 [354]
File: C:\WINDOWS\system32\MDA_NTDRV.sys
VirusTotal: C:\WINDOWS\system32\MDA_NTDRV.sys
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.
El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.
Finalmente (OJO, en MODO NORMAL):
-
Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).
-
Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.
-
Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.
-
Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.
Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:
Salu2.
os comentó que dicho tipo malware tiene cierta persistencia en el sistema y no se dejará eliminar así como así. Herramientas automatizadas o semi-automatizadas no le harán ni cosquillas. No lo podrán eliminar del sistema, aunque lo detecten, no podrán con este bicho. Así que dejémonos de rodeos, vamos a por faena… eso es vamos directamente con la artillería pesada.