Otro con el maldito virus de doble tilde

Hola, buenas @Leku.

:zero: PREGUNTAS

¿Tú has instalado en tu ordenador los siguientes programas o te suenan? Son estos:

Allavsoft 3.24.0.7961 (HKLM-x32\...\{6EBED4D8-13D9-4370-8D44-B57DDB7A787C}_is1) (Version:  - Allavsoft Corporation)
AOMEI Partition Assistant 9.4 (HKLM-x32\...\{02F850ED-FD0E-4ED1-BE0B-54981f5BD3D4}_is1) (Version:  - AOMEI International Network Limited.)
Botsol Crawler (HKLM-x32\...\{8BACC5B7-60EC-4FE0-81C8-F75B29CAC3A2}) (Version: 8.0 - Botsol)v0hfz8pc
GridinSoft Anti-Malware (HKLM\...\GridinSoft Anti-Malware) (Version: 4.2.14 - Gridinsoft LLC)
MalwareFox AntiMalware (HKLM-x32\...\{8F0CD7D1-42F3-4195-95CD-833578D45057}_is1) (Version: 2.74.0.150 - Wolf of Webstreet OPC Private Limited)
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.8.68.0 - Safer-Networking Ltd.)
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 10.0.1238 - SUPERAntiSpyware.com)

¿Los descargaste del sitio oficial? ¿Son piratas :pirate_flag: :pirate_flag:? ¿O son legales? Dime el estado de cada uno… si es legal… pirata y si lo descargaste del sitio oficial o no.

He detectado en tu equipo los siguientes antivirus instalados:

AV: Spybot - Search and Destroy (Enabled - Up to date) {F77C7796-45C4-531E-0DAE-B4A8229B11C8}
AV: Bitdefender Antivirus (Disabled - Up to date) {BAD274F4-FA00-8560-1CDE-6C830442BEFA}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG Antivirus (Enabled - Up to date) {A3C8941D-8036-3856-D9BB-709D4A2A7EAC}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Bitdefender Cortafuego (Enabled) {82E9F5D1-B06F-8438-3781-C5B6FA91F981}

Todo y que por el log me lo imagino… ¿Pero qué antivirus utilizas actualmente en tu equipo como protección residente? ¿Y qué Firewall?

:one: DESINSTALACIÓN PROGRAMAS

Para los programas en que te diga: puedes quitarlos. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Pues en tu caso tienes instalados los siguientes:

IObit Uninstaller 11 (HKLM-x32\...\IObitUninstall) (Version: 11.1.0.18 - IObit)
Smart Defrag 6 (HKLM-x32\...\Smart Defrag_is1) (Version: 6.4.5 - IObit)
Wondershare PDFelement(Build 7.6.8) (HKLM-x32\...\{77078E40-A92E-47FD-A0F6-168A4BF6CF3A}_is1) (Version: 7.6.8.5031 - Wondershare Software Co.,Ltd.)

Estos deben de quedar completamente desinstalados.

:two: DESINSTALACIÓN EXTENSIONES

Para las extensiones en que te diga: puedes quitarlas. Hazlo así:

Accedes a Chrome y quitas la extensión llamada ySpellWeb

En este caso quitas la extensión tal y como se indica en el siguiente enlace:

https://www.howtogeek.com/140464/how-to-manually-uninstall-a-globally-installed-chrome-extension/

Aplicas lo mismo pero para Opera. Eso es:

Accedes a Opera y quitas la extensión llamada ySpellWeb, deberiá de funcionar el mismo procedimiento para CHROME. Me informas de ello como ha ido.

También dime si Firefox tiene dicha extensión o sino la tiene.

Sube este ficheros a VirusTotal para ello te recomiendo que sigas Manual VirusTotal:

C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll

Y me traes el correspondiente análisis. Para ello adjuntas la dirección web/URL en tu próxima respuesta.

:three: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\ProgramData\Rerccj
Folder: C:\ProgramData\LiteSuse
File: C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
VirusTotal: C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {003c046e-76a3-11ea-a7f1-b05adaeb7818} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {7cd2526a-f3ba-11eb-a850-a4c4943f258b} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {81e54a79-45a8-11ec-a86a-a4c4943f258b} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {c54fb6b5-de2e-11eb-a849-a4c4943f258b} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1739314480-4207500633-2825667379-1001\...\MountPoints2: {f033edc5-dd89-11eb-a848-a4c4943f258b} - "E:\HiSuiteDownLoader.exe" 
BootExecute: autocheck autochk * bddel.exesdnclean64.exe
Task: {8B5FDBB7-6903-48CF-A605-15A8BFD714C3} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK
Task: {B791A3E4-AD06-4BB0-9295-05ECD4C30099} - System32\Tasks\Microsoft\Windows\Bluetooth\MXEAgWIZ => C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /unregister C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
C:\ProgramData\LiteSuse\ActioadUpgrzde\sljlo_JesPCLRD.dll
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2021-11-25] <==== ATENCIÓN (Apunta a archivo *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2021-11-25] <==== ATENCIÓN
CHR Extension: (ySpellWeb) - C:\ProgramData\Rerccj\Xlbbz [2021-11-29]
OPR Extension: (ySpellWeb) - C:\ProgramData\Rerccj\Xlbbz [2021-11-29]
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2021-03-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2021-03-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X]
CustomCLSID: HKU\S-1-5-21-1739314480-4207500633-2825667379-1001_Classes\CLSID\{75f92b33-bbaa-b4b4-04ac-a7c07959e5a66}\InprocServer32 -> 0x4B0F11C2EF89D501622095AAC78AD501020000002C00000000000000 => Ningún archivo
CustomCLSID: HKU\S-1-5-21-1739314480-4207500633-2825667379-1001_Classes\CLSID\{9486aaf1-0930-362a-962d-8e6908739c817}\InprocServer32 -> 0xDA0A49606488D5011A7C0CC2EF89D501030000001A00000000000000 => Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Ningún archivo
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ContextMenuHandlers1: [Foxit_ConvertToPDF] -> {C5269811-4A29-4818-A4BB-111F9FC63A5F} =>  -> Ningún archivo
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ShortcutWithArgument: C:\Users\User\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Rerccj\Xlbbz\16887754"
C:\ProgramData\Rerccj\Xlbbz\16887754
AlternateDataStreams: C:\ProgramData\TEMP:960C67A0 [129]
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [94]
AlternateDataStreams: C:\ProgramData\TEMP:FC595E85 [354]

File: C:\WINDOWS\system32\MDA_NTDRV.sys
VirusTotal: C:\WINDOWS\system32\MDA_NTDRV.sys

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.