Pc lento y algunas acciones no se llevan a cabo

Hola @Codex_Oscura

1.- Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Ccleaner

Manual de Revo Uninstaller.

No lo reinstales aun.

2.- Con todos los programas cerrados presiona las teclas Windows + R, en la ventana que se abre escribe tal cual >>> %temp% >>>

Vacias todo el contenido de la carpeta.

3.- Sigue estos pasos:

Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

4.- Desactiva Temporalmente tu antivirus.

5.- Ejecutaste FRST desde una ubicación incorrecta, corta el ejecutable de tu Carpeta Descargas y pegarlo en tu escritorio.

  • Running from C:\Users\Absent\Downloads

Luego:

Abre un nuevo archivo Notepad y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\...\MountPoints2: {5bfb4346-0eb5-11e9-9c15-7824af4205d3} - "L:\setup.exe" 
HKLM\...\Drivers32: [VIDC.RTV1] => C:\Windows\system32\rtvcvfw64.dll [246272 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [vidc.i420] => C:\Windows\SysWOW64\i420vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
HKLM\...\Drivers32: [VIDC.RTV1] => C:\Windows\SysWOW64\rtvcvfw32.dll [247296 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [vidc.yv12] => C:\Windows\SysWOW64\yv12vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
Task: {04FAB3A6-8FD2-46D2-96EF-C1608484FE41} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
Task: {706B5F1C-B5F8-4051-916F-4D1D0F4F1D66} - System32\Tasks\momag\{3EEBF4A5-6BD9-3528-1AD2-066A6C5B7D9E} => C:\Program Files (x86)\Common Files\3eebf4a56b\momag.exe
C:\Program Files (x86)\Common Files\3eebf4a56b
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131970613020950969&GUID=06F4EC48-6E91-4F5D-B415-C909D30B00DB
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131970613020953399&GUID=06F4EC48-6E91-4F5D-B415-C909D30B00DB
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3126805088-1096401988-3500408547-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R1 e0357e2a3fca78a2; C:\WINDOWS\system32\drivers\e0357e2a3fca78a2.sys [30912 2019-06-21] (BlockChain Advances Ltd -> FsFilter Network)
U3 idsvc; no ImagePath
2019-06-21 18:55 - 2019-06-21 18:55 - 000030912 _____ (FsFilter Network) C:\WINDOWS\system32\Drivers\e0357e2a3fca78a2.sys 
2019-06-21 18:54 - 2019-06-21 19:05 - 000000000 ____D C:\Program Files (x86)\gujhd
2019-06-21 18:54 - 2019-06-21 18:54 - 000000012 ___SH C:\WINDOWS\65612460883F
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => C:\Program Files\Notepad++\NppShell_06.dll [2018-11-12] (Notepad++ -> )
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
AlternateDataStreams: C:\Users\Absent\Datos de programa:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Absent\AppData\Roaming:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [440]
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (No File)
HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\...\StartupApproved\Run: => "ZUKR35S3BSTZNSD"
HKLM\...\StartupApproved\Run: => "WindowsDefender"
HKLM\...\StartupApproved\Run32: => "SecurityHealth"

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .

Salu2.

Hola @SanMar !

-Te comento que hice todo rigurosamente, según quedó indicado, CCleaner lo eliminé usando Revo. -Creé un backup del registro con Delfix. -Copié FRST al escritorio, cree el archivo “txt” con el script y lo dejé en el escritorio también.

En el último paso tuve un problema, ya que al iniciar frst y darle “fix”, el programa inició, todo parecía bien, pero al cabo de un rato se congeló y quedó en modo “No responde” demasiado tiempo. en el Log, creo que se nota que no terminó todo su proceso. Al quedar pegado, quedó en pantalla que lo último que estaba haciendo era “fixing” no se qué…

Te adjunto el Log:

Fix result of Farbar Recovery Scan Tool (x64) Version: 30-06-2019
Ran by Absent (01-07-2019 12:53:53) Run:1
Running from C:\Users\Absent\Desktop
Loaded Profiles: Absent (Available Profiles: Absent)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\...\MountPoints2: {5bfb4346-0eb5-11e9-9c15-7824af4205d3} - "L:\setup.exe" 
HKLM\...\Drivers32: [VIDC.RTV1] => C:\Windows\system32\rtvcvfw64.dll [246272 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [vidc.i420] => C:\Windows\SysWOW64\i420vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
HKLM\...\Drivers32: [VIDC.RTV1] => C:\Windows\SysWOW64\rtvcvfw32.dll [247296 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [vidc.yv12] => C:\Windows\SysWOW64\yv12vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
Task: {04FAB3A6-8FD2-46D2-96EF-C1608484FE41} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
Task: {706B5F1C-B5F8-4051-916F-4D1D0F4F1D66} - System32\Tasks\momag\{3EEBF4A5-6BD9-3528-1AD2-066A6C5B7D9E} => C:\Program Files (x86)\Common Files\3eebf4a56b\momag.exe
C:\Program Files (x86)\Common Files\3eebf4a56b
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131970613020950969&GUID=06F4EC48-6E91-4F5D-B415-C909D30B00DB
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131970613020953399&GUID=06F4EC48-6E91-4F5D-B415-C909D30B00DB
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3126805088-1096401988-3500408547-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R1 e0357e2a3fca78a2; C:\WINDOWS\system32\drivers\e0357e2a3fca78a2.sys [30912 2019-06-21] (BlockChain Advances Ltd -> FsFilter Network)
U3 idsvc; no ImagePath
2019-06-21 18:55 - 2019-06-21 18:55 - 000030912 _____ (FsFilter Network) C:\WINDOWS\system32\Drivers\e0357e2a3fca78a2.sys 
2019-06-21 18:54 - 2019-06-21 19:05 - 000000000 ____D C:\Program Files (x86)\gujhd
2019-06-21 18:54 - 2019-06-21 18:54 - 000000012 ___SH C:\WINDOWS\65612460883F
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => C:\Program Files\Notepad++\NppShell_06.dll [2018-11-12] (Notepad++ -> )
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
AlternateDataStreams: C:\Users\Absent\Datos de programa:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Absent\AppData\Roaming:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [440]
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (No File)
HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\...\StartupApproved\Run: => "ZUKR35S3BSTZNSD"
HKLM\...\StartupApproved\Run: => "WindowsDefender"
HKLM\...\StartupApproved\Run32: => "SecurityHealth"

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************

Processes closed successfully.
Restore point was successfully created.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => removed successfully
HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5bfb4346-0eb5-11e9-9c15-7824af4205d3} => removed successfully
HKLM\Software\Classes\CLSID\{5bfb4346-0eb5-11e9-9c15-7824af4205d3} => not found
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\VIDC.RTV1" => removed successfully
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\vidc.i420 => value restored successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\VIDC.RTV1" => not found
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\vidc.yv12" => not found
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{04FAB3A6-8FD2-46D2-96EF-C1608484FE41}" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{04FAB3A6-8FD2-46D2-96EF-C1608484FE41}" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{706B5F1C-B5F8-4051-916F-4D1D0F4F1D66}" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{706B5F1C-B5F8-4051-916F-4D1D0F4F1D66}" => removed successfully
C:\WINDOWS\System32\Tasks\momag\{3EEBF4A5-6BD9-3528-1AD2-066A6C5B7D9E} => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\momag\{3EEBF4A5-6BD9-3528-1AD2-066A6C5B7D9E}" => removed successfully
"C:\Program Files (x86)\Common Files\3eebf4a56b" => not found
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => removed successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
"HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => removed successfully
e0357e2a3fca78a2 => Unable to stop service.
HKLM\System\CurrentControlSet\Services\e0357e2a3fca78a2 => could not remove, key could be protected
HKLM\System\CurrentControlSet\Services\idsvc => removed successfully
idsvc => service removed successfully

Saludos!

Hola @Codex_Oscura

Efectivamente algunas cuestiones no se eliminaron y otras si.

Ejecuta nuevamente FRST como lo hiciste anteriormente y nos traes reportes frescos.

Ademas comenta como va el equipo.

Salu2

Hola @SanMar,

Perdón la demora. El análisis lo llevé a cabo y este es el resultado. Agrego que se congeló igual que la vez pasada, pero antes de forzar el reinicio, pensé que si abría el programa de nuevo a lo mejor se iba a destrabar, lo cual fue erroneo, pero cuando abrí la nueva instancia me apareció el reporte del análisis completo :roll_eyes:

Fixlog.txt (8,7 KB)

En el reporte aparece un archivo (e0357e2a3fca78a2.sys) alojada en la carpeta “drivers” en win32, la cual no fue eliminada por el programa, pero al reinicio cuando se ejecutó windows defender, lo detectó y eliminó (supongo).

El computador me ha funcionado mejor, pero pienso que el virus afectó hartos archivos en el sistema, por ejemplo la calculadora no me abre, tuve que reinstalar microsoft office (lo desinstalé con revo en avanzado).

Tengo un documento de texto con archivos que yo creo son sospechosos, ya que soy informático y suelo revisar la actividad en mi computador. Lo adjuntaré. Aplicaciones extrañas.txt (1,0 KB)

Por otro lado, lo de la calculadora, noté que el típico ejecutable “Calc.exe” (No confundir con “Cacls.exe”, programa del control de acls) ya no existe y en cambio está un ejecutable llamado “Calculator.exe” que extrañamente fue modificado el día 21 cuando empezó todo.

Adjunto la dirección del archivo Calculator.exe:

C:\Program Files\WindowsApps\Microsoft.WindowsCalculator_10.1905.28.0_x64__8wekyb3d8bbwe

Quedo atento a tus comentarios, Saludos!

Hola @Codex_Oscura

Era normal lo imagine, yo lo que te había pedido era un reporte fresco como la primera vez que lo ejecutaste.

Ninguna de las dos veces ya veremos si debemos cambiar el método de eliminación.

Windows Defender esta bloqueado y con FRST tratamos de desbloquearlo, tal vez reacciono ya veremos.

Es probable, lo de la calculadora u otros archivos de Sistema los podremos arreglar al final, lo mas importante es verificar que ya no este ese archivo.

Salvo los dos últimos que mencionas que son maliciosos y fueron eliminados, el resto que son Apps de Windows, si quieres desinstalarlas o eliminarlas por que no las usas revisa:

Pregunta: Cómo puedo entrar en el listado secreto de aplicaciones?

Son las Faq de Windows 10, y desde allí podrás desinstalar aquellas que no utilices o te parezcan sospechosas.


Ahora necesito que ejecutes FRST como lo hiciste la primera vez Post 2 y nos pegues los nuevos reportes de FRST y Addition.

Salu2

Hola @SanMar!

Perdón la demora en subir los reportes, pero aquí están:

Addition Addition.txt (53,4 KB)

FRST FRST.txt (109,8 KB)

Espero ya quede menos de este virus tan escurridizo.

Saludos

Hola @Codex_Oscura

Al menos en el reporte ya no aparece.

Prueba al menos tres reinicios y nos comentas como va.

Salu2

Hola @SanMar,

El pc funciona OK, sólo que ciertas funciones quedaron sin utilidad, como la calculadora que comenté hace unos días.

Apenas pueda posteo una lista con dichos programas o funciones para ver si existe algún Fix para eso.

Saludos!

Hola @Codex_Oscura

Paso 1.-: Necesitamos desactivar tu Windows Defender, ya que por una incidencia reciente no podremos reparar el Sistema con el activado.

Paso 2.-: Luego de desactivarlo vas a:

Botón de Inicio >>> escribes CMD >>> botón derecho sobre cmd.exe >>> Ejecutar como Administrador.

En la ventana de la consola escribes tal cual:

  • sfc /scannow

Tomará un tiempo largo

Paso 3.- Al terminar en la misma consola con derechos de Administrador escribes tal cual pulsando enter después de cada uno de ellos:

  • dism /online /cleanup-image /scanhealth

  • dism /online /cleanup-image /checkhealth

  • dism /online /cleanup-image /restorehealth

Al finalizar reinicias vienes y nos comentas.

PD: Toma nota de cualquier error que te mencione después de cada comando.

Salu2

Hola @SanMar,

He realizado todo a cabalidad, y te comento que el computador funciona bastante mejor. Todo ok ne cuanto a funciones y configuraciones, lo único que se resiste a todo es la calculadora. Ahora abre por más de 2 segundos, pero se sigue cerrando automáticamente.

Te agradezco un montón toda la ayuda y el tiempo brindado. Te adjunto el “log” de lo que me fue apareciendo en CMD y te adjunto el log del SFC. Quedo atento a tus comentarios por si te queda algún truco para recuperar la calculadora, ya que la suelo utilizar bastante.

Gracias, saludos!

LOG_CMD.txt (1,6 KB)

CBS Log (Link)

Hola @Codex_Oscura

siempre es un placer ayudar…:+1:

Perfecto todo, lo único que menciona es que no pudo arreglar Windows Defender, pero eso ya lo sabemos ya que nosotros mismos lo desactivamos…:upside_down_face:

Siempre algún truco queda :smiley:, vamos por ello:

Realiza lo siguiente:

1.- Descargue la herramienta SystemLook a su escritorio segun la arquitectura de su Sistema Operativo: >>> Como saber si mi Windows es de 32 o 64 bits?.

2.- Haga doble clic al archivo SystemLook.exe para ejecutarlo.

Si usa Windows 7/8 o 10, presione clic derecho y seleccione Ejecutar como Administrador

Copie y pegue tal cual el texto del recuadro de aquí abajo en la ventana del programa y pulse en Look.

:filefind  
*calc.exe*

:process
calc.exe
            
  • Espere hasta que finalice la búsqueda. (Esta puede demorarse)
  • Al terminar se abrirá el bloc de notas, con un reporte que debe copiar y pegar en su próxima respuesta.

Nota: Ese reporte también se guardará con el nombre SystemLook.txt en su escritorio.

Salu2

Hola @SanMar !

Traigo el reporte solicitado.

SystemLook 30.07.11 by jpshortstuff
Log created at 18:28 on 16/07/2019 by Absent
Administrator - Elevation successful

========== filefind ==========

Searching for "*calc.exe*"
C:\Archivos de programa\WindowsApps\Microsoft.LanguageExperiencePackes-ES_17763.14.39.0_neutral__8wekyb3d8bbwe\Windows\System32\es-ES\win32calc.exe.mui	--a---- 208768 bytes	[14:11 27/06/2019]	[14:12 27/06/2019] B181651A809B37F2711EA1854E1F60CA
C:\Program Files\WindowsApps\Microsoft.LanguageExperiencePackes-ES_17763.14.39.0_neutral__8wekyb3d8bbwe\Windows\System32\es-ES\win32calc.exe.mui	--a---- 208768 bytes	[14:11 27/06/2019]	[14:12 27/06/2019] B181651A809B37F2711EA1854E1F60CA
C:\Windows\System32\calc.exe	--a---- 27648 bytes	[07:29 15/09/2018]	[07:29 15/09/2018] DEAD69D07BC33B762ABD466FB6F53E11
C:\Windows\SysWOW64\calc.exe	--a---- 26112 bytes	[07:29 15/09/2018]	[07:29 15/09/2018] 60FF7F830695B46E4E978968D9A995FE
C:\Windows\WinSxS\amd64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_9a83eb2072e563f9\calc.exe	--a---- 27648 bytes	[07:29 15/09/2018]	[07:29 15/09/2018] DEAD69D07BC33B762ABD466FB6F53E11
C:\Windows\WinSxS\wow64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_a4d89572a74625f4\calc.exe	--a---- 26112 bytes	[07:29 15/09/2018]	[07:29 15/09/2018] 60FF7F830695B46E4E978968D9A995FE

========== process ==========

calc.exe - Unable to open process handle.

-= EOF =-

Saludos!

Hola @Codex_Oscura

Probemos lo siguiente:

Punto 1.-

Entra al Listado Secreto de Aplicaciones de Windows 10.

  • Busca la Calculadora.
  • Botón derecho sobre ella >>> Desinstalar…

Luego de reiniciar vas a la tienda (App Store) y descargas e instalas nuevamente la calculadora.

Prueba si funciona, y si aun no sigue con lo siguiente:

Punto 2.-

Abre un nuevo archivo Notepad y copia y pega este contenido:


Start
CloseProcesses:
CreateRestorePoint:
Replace: C:\Windows\WinSxS\amd64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_9a83eb2072e563f9\calc.exe C:\Windows\System32\calc.exe
Replace: C:\Windows\WinSxS\wow64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_a4d89572a74625f4\calc.exe C:\Windows\SysWOW64\calc.exe
Reboot:
EmptyTemp:
End
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas como sigue el problema.

Salu2.

Hola @SanMar,

Te comento que hoy volvió a aparecer el virus, el mismo que el del día 1.

Me apareció un mensaje en Malwarebytes, eran 2 archivos que están en cuarentena. Te adjunto el log. El único cambio que noto en el sistema es que al presionar clic derecho en el escritorio, demora bastante en aparecer la ventana de opciones, lo cual me ha pasado en varias oportunidades con otros virus en otros computadores.

Malwarebytes log.txt (1,7 KB)

FRST.txt (95,9 KB) Addition.txt (55,4 KB)

En esta línea (frst) aparece una librería que fue creada en día 21, y está en modo “oculto” y calza con la hora del primer suceso. Tampoco tiene programas asociados.

2019-06-21 18:54 - 2019-06-21 18:54 - 000000012 ___SH C:\WINDOWS\65612460883F

Además, en estas líneas también aparecen archivos que fueron creados en la misma fecha y la misma hora y que no estaban antes de que me infectara con virus.

2019-06-21 18:56 - 2019-06-21 18:56 - 000126464 _____ C:\Users\Absent\AppData\Local\lobby.dat
2019-06-21 18:55 - 2019-06-21 18:55 - 000825856 _____ C:\Default.xml

Hola @Codex_Oscura

Vamos por mas :upside_down_face:, tan bien que íbamos.

Antes de continuar que paso con la calculadora?

Hiciste los pasos que te deje en el post 29?? Por que no veo el fixlog.

Re-activaste Windows Defender?


1.- Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Cheat Engine 6.8.3

Manual de Revo Uninstaller.

Luego sigue estos pasos:

2.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

3.- Desactiva Temporalmente tu antivirus.

4.- Abre un nuevo archivo Notepad y copia y pega este contenido:


Start
CloseProcesses:
CreateRestorePoint:
2019-07-04 20:04 - 2019-07-04 20:04 - 000000000 ____D C:\Users\Absent\AppData\Local\Backup {E1A2D7FE-C50A-BB46-A892-9EAE8CFA6236} - copia
2019-06-21 18:54 - 2019-06-21 18:54 - 000000012 ___SH C:\WINDOWS\65612460883F
2019-06-21 18:56 - 2019-06-21 18:56 - 000126464 _____ C:\Users\Absent\AppData\Local\lobby.dat
2019-06-21 18:55 - 2019-06-21 18:55 - 000825856 _____ C:\Default.xml
HKLM\...\Drivers32: [vidc.i420] => C:\Windows\SysWOW64\i420vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
HKLM\...\Drivers32: [VIDC.RTV1] => C:\Windows\SysWOW64\rtvcvfw32.dll [247296 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [vidc.yv12] => C:\Windows\SysWOW64\yv12vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
HKLM\Software\...\Authentication\Credential Providers: [{503739d0-4c5e-4cfd-b3ba-d881334f0df2}] -> 
Task: {A1404501-4D56-4533-97C7-D335686F3B46} - System32\Tasks\EOSv3 Scheduler onTime => C:\Users\Absent\Downloads\esetonlinescanner_esn.exe
Task: {AE956413-7C92-47B3-9109-441FB4B21A03} - System32\Tasks\EOSv3 Scheduler onLogOn => C:\Users\Absent\Downloads\esetonlinescanner_esn.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL 
S3 xhunter1; C:\WINDOWS\xhunter1.sys [74552 2019-07-15] (Wellbia.com Co., Ltd. -> Wellbia.com Co., Ltd.)
C:\WINDOWS\xhunter1.sys
2019-06-28 10:46 - 2019-06-28 11:00 - 000002522 _____ C:\Users\Absent\BAM.bat
2019-06-21 20:27 - 2004-01-25 00:00 - 000070656 ___SH (www.helixcommunity.org) C:\WINDOWS\SysWOW64\yv12vfw.dll
2019-06-21 20:27 - 2004-01-25 00:00 - 000070656 ___SH (www.helixcommunity.org) C:\WINDOWS\SysWOW64\i420vfw.dll
2019-06-21 18:54 - 2019-06-21 19:05 - 000000000 ____D C:\Program Files (x86)\gujhd
2019-07-15 15:04 - 2019-02-01 18:13 - 000074552 _____ (Wellbia.com Co., Ltd.) C:\WINDOWS\xhunter1.sys
2019-07-11 15:47 - 2019-03-14 14:20 - 000000000 ____D C:\Program Files (x86)\Cheat Engine 6.8.3
C:\Program Files (x86)\Cheat Engine 6.8.3
2019-07-08 13:58 - 2019-06-05 18:07 - 000000000 ____D C:\Users\Absent\AppData\Local\UnrealEngine
2019-07-06 16:11 - 2019-03-14 14:21 - 000001166 _____ C:\Users\Absent\Cheat Engine.lnk
2019-07-01 12:54 - 2019-01-04 15:13 - 000000000 ____D C:\WINDOWS\System32\Tasks\momag
2019-06-21 19:47 - 2019-05-07 13:49 - 000000000 ____D C:\Users\Absent\AppData\Local\ESET
2019-06-21 20:44 - 2019-05-02 08:11 - 000003691 ___RX C:\Users\Absent\Downloads\Organizador.bat
2019-06-28 10:46 - 2019-06-28 11:00 - 000002522 _____ () C:\Users\Absent\BAM.bat
2018-11-16 19:30 - 2019-02-13 20:29 - 000000245 _____ () C:\Users\Absent\mdatac.dat
2018-11-16 17:17 - 2018-11-18 16:30 - 001999539 _____ () C:\Users\Absent\Test.exe
2019-06-21 18:56 - 2019-06-21 18:56 - 000126464 _____ () C:\Users\Absent\AppData\Local\lobby.dat
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
AlternateDataStreams: C:\Users\Absent\Datos de programa:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Absent\Datos de programa:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Absent\AppData\Roaming:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Absent\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [440]
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (No File)

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

5.- Inmediatamente luego de reiniciar:

Desactiva nuevamente tu antivirus y cualquier programa de seguridad.

6.- Descarga UsbFix a tu escritorio :

  • Conecte todos sus dispositivos extraibles, USB/Pendrive\Micro SD, etc.
  • Ejecute USBFix.exe

  • Una vez conectados todos sus dispositivos presione en "Ejecutar análisis."
  • Posteriormente seleccione “Full Análisis” y espere a que termine.
  • En caso de detectar amenazas, seleccione todo los elementos detectados y presione "Limpiar todo"
  • Si le pidiera reiniciar el sistema, Acepte .
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado.
  • Copie y pegue entero dicho reporte en su próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio)

Una vez terminado el análisis, con todas las unidades conectadas, vuelva a ejecutar USBFix como Administrador, y vacune los mismos, siguiendo los pasos del Manual.

Nos comentas .

Salu2.

Hola @SanMar,

Olvidé mencionar lo de la calculadora; realicé ambos pasos, ya que el primero no me dejaba desinstalar, y en el segundo paso, se realizaron las copias, pero sigue cerrándose a los 2 segundos. Windows Defender si está activo, siempre lo verifico.

Comentando lo último que me solicitaste:

Cheat Engine, la verdad lo utilizo bastante para pruebas de programas, pero de todas formas lo desinstalé con Revo.

Hice la copia del Registro como me lo pediste, y está guardada.

Desactivé el antivirus con el script de la vez pasada.

Copié y pegué el script para FRST y lo guardé en la fixlist, pero te comento que le borré unas líneas, ya que eran archivos creados por mi. Los script *.bat en mis carpetas son todos creados por mi, con los que analizo mi computador. Por ejemplo “BAM” es “busqueda automática de modificaciones”.

MIO                  2019-06-28 10:46 - 2019-06-28 11:00 - 000002522 _____ C:\Users\Absent\BAM.bat
MIO                  2019-07-08 13:58 - 2019-06-05 18:07 - 000000000 ____D
MOTOR GRAFICO UE     C:\Users\Absent\AppData\Local\UnrealEngine
MIO                  2019-06-21 20:44 - 2019-05-02 08:11 - 000003691 ___RX C:\Users\Absent\Downloads\Organizador.bat
MIO                  2019-06-28 10:46 - 2019-06-28 11:00 - 000002522 _____ () C:\Users\Absent\BAM.bat

Realicé también los de USBFix, aunque la verdad no conecto ningún tipo de almacenamiento al computador.

Ahora pego los reportes arrojados por los programas y además adjunto el anterior sobre la calculadora:

FRST LOG

Fix result of Farbar Recovery Scan Tool (x64) Version: 15-07-2019 01
Ran by Absent (19-07-2019 11:18:20) Run:4
Running from C:\Users\Absent\Desktop
Loaded Profiles: Absent (Available Profiles: Absent)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:
2019-07-04 20:04 - 2019-07-04 20:04 - 000000000 ____D C:\Users\Absent\AppData\Local\Backup {E1A2D7FE-C50A-BB46-A892-9EAE8CFA6236} - copia
2019-06-21 18:54 - 2019-06-21 18:54 - 000000012 ___SH C:\WINDOWS\65612460883F
2019-06-21 18:56 - 2019-06-21 18:56 - 000126464 _____ C:\Users\Absent\AppData\Local\lobby.dat
2019-06-21 18:55 - 2019-06-21 18:55 - 000825856 _____ C:\Default.xml
HKLM\...\Drivers32: [vidc.i420] => C:\Windows\SysWOW64\i420vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
HKLM\...\Drivers32: [VIDC.RTV1] => C:\Windows\SysWOW64\rtvcvfw32.dll [247296 2012-09-28] () [File not signed]
HKLM\...\Drivers32: [vidc.yv12] => C:\Windows\SysWOW64\yv12vfw.dll [70656 2004-01-25] (www.helixcommunity.org) [File not signed]
HKLM\Software\...\Authentication\Credential Providers: [{503739d0-4c5e-4cfd-b3ba-d881334f0df2}] -> 
Task: {A1404501-4D56-4533-97C7-D335686F3B46} - System32\Tasks\EOSv3 Scheduler onTime => C:\Users\Absent\Downloads\esetonlinescanner_esn.exe
Task: {AE956413-7C92-47B3-9109-441FB4B21A03} - System32\Tasks\EOSv3 Scheduler onLogOn => C:\Users\Absent\Downloads\esetonlinescanner_esn.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL 
S3 xhunter1; C:\WINDOWS\xhunter1.sys [74552 2019-07-15] (Wellbia.com Co., Ltd. -> Wellbia.com Co., Ltd.)
C:\WINDOWS\xhunter1.sys
2019-06-21 20:27 - 2004-01-25 00:00 - 000070656 ___SH (www.helixcommunity.org) C:\WINDOWS\SysWOW64\yv12vfw.dll
2019-06-21 20:27 - 2004-01-25 00:00 - 000070656 ___SH (www.helixcommunity.org) C:\WINDOWS\SysWOW64\i420vfw.dll
2019-06-21 18:54 - 2019-06-21 19:05 - 000000000 ____D C:\Program Files (x86)\gujhd
2019-07-15 15:04 - 2019-02-01 18:13 - 000074552 _____ (Wellbia.com Co., Ltd.) C:\WINDOWS\xhunter1.sys
2019-07-11 15:47 - 2019-03-14 14:20 - 000000000 ____D C:\Program Files (x86)\Cheat Engine 6.8.3
C:\Program Files (x86)\Cheat Engine 6.8.3
2019-07-06 16:11 - 2019-03-14 14:21 - 000001166 _____ C:\Users\Absent\Cheat Engine.lnk
2019-07-01 12:54 - 2019-01-04 15:13 - 000000000 ____D C:\WINDOWS\System32\Tasks\momag
2019-06-21 19:47 - 2019-05-07 13:49 - 000000000 ____D C:\Users\Absent\AppData\Local\ESET
2018-11-16 19:30 - 2019-02-13 20:29 - 000000245 _____ () C:\Users\Absent\mdatac.dat
2018-11-16 17:17 - 2018-11-18 16:30 - 001999539 _____ () C:\Users\Absent\Test.exe
2019-06-21 18:56 - 2019-06-21 18:56 - 000126464 _____ () C:\Users\Absent\AppData\Local\lobby.dat
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} =>  -> No File
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
AlternateDataStreams: C:\Users\Absent\Datos de programa:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Absent\Datos de programa:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Absent\AppData\Roaming:7dd1e1189f9fcf05a559dccee48d89c6 [362]
AlternateDataStreams: C:\Users\Absent\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [440]
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (No File)

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************

Processes closed successfully.
Restore point was successfully created.
C:\Users\Absent\AppData\Local\Backup {E1A2D7FE-C50A-BB46-A892-9EAE8CFA6236} - copia => moved successfully
C:\WINDOWS\65612460883F => moved successfully
C:\Users\Absent\AppData\Local\lobby.dat => moved successfully
C:\Default.xml => moved successfully
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\vidc.i420 => value restored successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\VIDC.RTV1" => not found
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\vidc.yv12" => not found
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{503739d0-4c5e-4cfd-b3ba-d881334f0df2}" => removed successfully
HKLM\Software\Classes\CLSID\{503739d0-4c5e-4cfd-b3ba-d881334f0df2} => not found
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A1404501-4D56-4533-97C7-D335686F3B46}" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A1404501-4D56-4533-97C7-D335686F3B46}" => removed successfully
C:\WINDOWS\System32\Tasks\EOSv3 Scheduler onTime => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\EOSv3 Scheduler onTime" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AE956413-7C92-47B3-9109-441FB4B21A03}" => removed successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE956413-7C92-47B3-9109-441FB4B21A03}" => removed successfully
C:\WINDOWS\System32\Tasks\EOSv3 Scheduler onLogOn => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\EOSv3 Scheduler onLogOn" => removed successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value restored successfully
HKLM\System\CurrentControlSet\Services\xhunter1 => removed successfully
xhunter1 => service removed successfully
C:\WINDOWS\xhunter1.sys => moved successfully
C:\WINDOWS\SysWOW64\yv12vfw.dll => moved successfully
C:\WINDOWS\SysWOW64\i420vfw.dll => moved successfully
C:\Program Files (x86)\gujhd => moved successfully
"C:\WINDOWS\xhunter1.sys" => not found
"C:\Program Files (x86)\Cheat Engine 6.8.3" => not found
"C:\Program Files (x86)\Cheat Engine 6.8.3" => not found
C:\Users\Absent\Cheat Engine.lnk => moved successfully
C:\WINDOWS\System32\Tasks\momag => moved successfully
C:\Users\Absent\AppData\Local\ESET => moved successfully
C:\Users\Absent\mdatac.dat => moved successfully
C:\Users\Absent\Test.exe => moved successfully
"C:\Users\Absent\AppData\Local\lobby.dat" => not found
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\ FileSyncEx => removed successfully
HKLM\Software\Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => not found
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip => removed successfully
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} => not found
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\BriefcaseMenu => removed successfully
"HKLM\Software\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}" => removed successfully
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\UAContextMenu => removed successfully
HKLM\Software\Classes\CLSID\{A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => not found
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} => removed successfully
HKLM\Software\Classes\CLSID\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} => not found
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\ FileSyncEx => removed successfully
HKLM\Software\Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => not found
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip => removed successfully
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} => not found
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\UAContextMenu => removed successfully
HKLM\Software\Classes\CLSID\{A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => not found
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\BriefcaseMenu => removed successfully
HKLM\Software\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D} => not found
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\UAContextMenu => removed successfully
HKLM\Software\Classes\CLSID\{A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => not found
"HKU\\Software\Classes\*\ShellEx\ContextMenuHandlers\ FileSyncEx" => not found
HKLM\Software\Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => not found
"HKU\\Software\Classes\Directory\ShellEx\ContextMenuHandlers\ FileSyncEx" => not found
HKLM\Software\Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => not found
"HKU\\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\ FileSyncEx" => not found
HKLM\Software\Classes\CLSID\{CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => not found
C:\Users\Absent\Datos de programa => ":7dd1e1189f9fcf05a559dccee48d89c6" ADS removed successfully
C:\Users\Absent\Datos de programa => ":fbd50e2f7662a5c33287ddc6e65ab5a1" ADS removed successfully
"C:\Users\Absent\AppData\Roaming" => ":7dd1e1189f9fcf05a559dccee48d89c6" ADS not found.
"C:\Users\Absent\AppData\Roaming" => ":fbd50e2f7662a5c33287ddc6e65ab5a1" ADS not found.
C:\Users\Public\Shared Files => ":VersionCache" ADS removed successfully
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (No File) => Error: No automatic fix found for this entry.

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= End of CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

Error al renovar la interfaz Ethernet 3: no se puede establecer contacto con el
servidor DHCP. La solicitud super¢ el tiempo de espera.

========= End of CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

0 out of 0 jobs canceled.

========= End of CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= End of CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= End of CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= End of CMD: =========


========= netsh int ipv4 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= End of CMD: =========


========= netsh int ipv6 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= End of CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully
"HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully
"HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully


========= End of RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => moved successfully
Hosts restored successfully.

=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12801749 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1305356 B
Edge => 18001 B
Chrome => 23227058 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
LocalService => 0 B
NetworkService => 6696 B
NetworkService => 0 B
Absent => 2000727 B

RecycleBin => 0 B
EmptyTemp: => 45.1 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 11:20:13 ====

USBFix log

# ----------------------------------------------------
# UsbFix Antivirus Free
# ----------------------------------------------------
# Versión : 11.016
# Base de datos : 2019.05.21 
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : Absent (Administrador)
# Dispositivo : ABSENTPPC
# Comenzó : 19/07/2019 11:32:57
# ----------------------------------------------------

------------ | Discos analizados |

C:\	NTFS	(34GB/111GB)	[Fixed] 
D:\	NTFS	(136GB/443GB)	[Fixed] 
E:\	NTFS	(76GB/146GB)	[Fixed] 
F:\	NTFS	(47GB/195GB)	[Fixed] 
G:\	NTFS	(2GB/21GB)	[Fixed] 
H:\	NTFS	(12GB/124GB)	[Fixed] 

------------ | Elemento(s) infectado(s) |

Borrado! C:\Users\Absent\AppData\Local\MEGAsync
Borrado! C:\Users\Absent\AppData\Local\MEGAsync
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\libsodium.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\MEGA Website.url
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\MEGAsync.exe
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\MEGAupdater.exe
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\msvcp140.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\platforms\qwindows.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\ShellExtX64.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\ssleay32.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\swresample-2.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\swscale-4.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\ucrtbase.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\uninst.exe
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\vccorlib140.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync\vcruntime140.dll
Borrado! C:\Users\Absent\AppData\Local\MEGAsync
Borrado! C:\Users\Absent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk
Borrado! C:\Users\Absent\AppData\Roaming\Microsoft\Windows\win_a.dat

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [DAEMON Tools Lite Automount] "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun
04 - HKCU\..\Run : [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
04 - HKCU\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - [x64] HKLM\..\Run : [SecurityHealth] %windir%\system32\SecurityHealthSystray.exe
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\..\Run : [DAEMON Tools Lite Automount] "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun
04 - HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\..\Run : [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
04 - HKU\S-1-5-21-3126805088-1096401988-3500408547-1000\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR

------------ | Tasks |

Task - BlueStacksHelper --> C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr
Task - CCleaner Update --> C:\Program Files\CCleaner\CCUpdate.exe
Task - CCleanerSkipUAC --> "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
Task - GoogleUpdateTaskMachineCore --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - MSIAfterburner --> C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s
Task - NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log
Task - NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log
Task - NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> "C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe"
Task - NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler
Task - NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
Task - NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
Task - NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
Task - NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
Task - NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
Task - NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} --> C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
Task - User_Feed_Synchronization-{35C83302-2B05-4DF8-9B0D-47D37575E842} --> C:\WINDOWS\system32\msfeedssync.exe sync

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[19/07/2019 - 11:11:03 | A | 0 Ko] - DelFix.txt
[19/07/2019 - 11:21:04 | ASH | 3145728 Ko] - pagefile.sys
[19/07/2019 - 11:21:05 | ASH | 16384 Ko] - swapfile.sys
[30/04/2019 - 17:11:33 | SH | 0 Ko] - bootTel.dat
[28/06/2019 - 11:07:41 | SHD] - $Recycle.Bin
[16/11/2018 - 10:57:19 | HD] - $Windows.~WS
[14/07/2009 - 01:08:56 | SHD] - Documents and Settings
[01/09/2018 - 12:10:00 | SHD] - Archivos de programa
[15/09/2018 - 03:33:50 | D] - PerfLogs
[16/11/2018 - 13:19:16 | RD] - Users
[16/11/2018 - 13:21:07 | SHD] - Recovery
[31/01/2019 - 18:16:44 | D] - LIN
[06/06/2019 - 21:16:02 | D] - ESD
[04/07/2019 - 20:07:25 | RD] - Program Files
[08/07/2019 - 09:49:06 | HD] - ProgramData
[12/07/2019 - 15:02:02 | D] - AdwCleaner
[19/07/2019 - 11:18:40 | D] - Windows
[19/07/2019 - 11:22:49 | D] - FRST
[19/07/2019 - 11:29:43 | RD] - Program Files (x86)

------------ | D:\ - Disco fijo (NTFS) |

[22/06/2019 - 16:08:56 | HD] - msdownld.tmp
[02/02/2019 - 16:49:45 | ASH | 3314940 Ko] - hiberfil.sys
[02/02/2019 - 16:49:45 | ASH | 1310720 Ko] - pagefile.sys
[02/02/2019 - 16:49:45 | ASH | 262144 Ko] - swapfile.sys
[14/04/2014 - 17:29:38 | AHD] - SYSTEM.SAV
[13/11/2018 - 12:57:52 | SHD] - Config.Msi
[10/12/2018 - 09:07:15 | SHD] - $Recycle.Bin
[03/08/2012 - 19:21:37 | RASH | 8 Ko] - BOOTSECT.BAK
[13/11/2018 - 14:29:54 | HD] - $WINDOWS.~BT
[25/07/2012 - 23:44:30 | RASH | 389 Ko] - bootmgr
[03/08/2012 - 19:21:36 | SHD] - Boot
[22/08/2013 - 10:45:52 | SHD] - Documents and Settings
[01/09/2013 - 08:49:48 | D] - SWSetup
[14/04/2014 - 16:00:19 | SHD] - Archivos de programa
[19/04/2014 - 18:13:43 | RHD] - MSOCache
[21/04/2014 - 21:18:17 | HD] - HP
[16/02/2015 - 15:28:31 | D] - PaintToolSAI
[30/10/2015 - 03:18:34 | ASH | 0 Ko] - BOOTNXT
[30/10/2015 - 03:24:24 | D] - PerfLogs
[13/02/2016 - 09:07:41 | D] - Logs
[09/04/2016 - 08:20:16 | D] - inetpub
[09/04/2016 - 14:58:55 | D] - AMD
[09/04/2016 - 15:03:36 | SHD] - Recovery
[22/01/2017 - 18:38:45 | RD] - Users
[29/06/2017 - 19:39:35 | HD] - ProgramData
[13/11/2018 - 14:18:05 | D] - Windows10Upgrade
[13/11/2018 - 14:18:09 | HD] - $GetCurrent
[14/11/2018 - 14:40:29 | RD] - Program Files
[14/11/2018 - 17:24:31 | D] - Program Files (x86)
[02/02/2019 - 16:47:49 | D] - Windows
[21/06/2019 - 12:29:51 | D] - BACKUP ABSENT
[12/07/2019 - 15:01:45 | D] - Action!
[12/07/2019 - 15:01:48 | D] - Games

------------ | E:\ - Disco fijo (NTFS) |

[01/09/2018 - 12:10:08 | SHD] - $RECYCLE.BIN
[12/01/2016 - 21:33:30 | ADC] - Absen
[13/01/2016 - 18:16:21 | AD] - Popcorn Time
[07/02/2016 - 15:26:26 | D] - Películas
[14/02/2017 - 10:13:04 | ADC] - Celular
[28/11/2017 - 15:50:37 | RD] - Nosotros
[28/11/2017 - 17:00:44 | RD] - Imagenes
[08/04/2018 - 14:03:14 | ADC] - Libros
[25/08/2018 - 11:45:14 | D] - Los Simpsons
[01/09/2018 - 12:58:40 | D] - DRIVERS
[18/01/2019 - 18:04:34 | D] - Función Malau 2019
[08/04/2019 - 20:40:33 | RD] - Música
[16/05/2019 - 12:41:05 | D] - Tablet
[10/06/2019 - 17:16:09 | D] - Games
[28/06/2019 - 08:28:02 | AD] - JDownloader
[03/07/2019 - 18:41:23 | D] - Fotos

------------ | F:\ - Disco fijo (NTFS) |

[07/06/2019 - 13:13:32 | HD] - msdownld.tmp
[19/07/2019 - 11:21:05 | ASH | 5505024 Ko] - pagefile.sys
[19/11/2018 - 07:59:12 | SHD] - $RECYCLE.BIN
[22/08/2016 - 12:21:16 | SHD] - Recovery
[30/05/2019 - 15:21:46 | D] - SteamLibrary
[08/06/2019 - 19:30:51 | D] - Games
[09/06/2019 - 16:31:20 | D] - Descargas JD
[12/07/2019 - 15:02:00 | D] - CPY_SAVES

------------ | G:\ - Disco fijo (NTFS) |

[26/07/2012 - 15:57:10 | RASH | 1319 Ko] - bootmgr.efi
[10/12/2018 - 09:07:15 | SHD] - $RECYCLE.BIN
[26/07/2012 - 14:44:32 | RASH | 389 Ko] - bootmgr
[01/09/2013 - 09:50:33 | RSHD] - EFI
[01/09/2013 - 09:50:33 | RASHD] - hp
[01/09/2013 - 09:50:33 | RSHD] - boot
[01/09/2013 - 09:50:33 | RSD] - recovery
[01/09/2013 - 09:50:33 | SHD] - RM_Reserve
[09/04/2016 - 15:38:11 | RSHD] - preload

------------ | H:\ - Disco fijo (NTFS) |

[06/06/2019 - 15:03:37 | SHC | 0 Ko] - desktop.ini
[12/12/2018 - 08:34:49 | SHDC] - $RECYCLE.BIN
[27/01/2019 - 12:56:15 | DC] - Backup Celu
[30/04/2019 - 12:03:03 | DC] - Samsung j7 Duos
[30/04/2019 - 16:42:16 | D] - Backup Disco Notebook
[07/05/2019 - 16:22:38 | DC] - IObit
[07/05/2019 - 16:22:52 | DC] - Nueva carpeta
[01/06/2019 - 10:13:22 | DC] - Programas
[06/06/2019 - 15:03:21 | SHDC] - MSOCache
[09/06/2019 - 17:25:32 | D] - gta
[18/06/2019 - 12:48:07 | D] - Mario Kart 8

Elemento(s) infectado(s) : 3
Elementos analizados : 104984 en 00h 00m 11s

# UsbFix-Report-02.txt [10399B]

------------ | E.O.F  |

FRST CALC.EXE

Fix result of Farbar Recovery Scan Tool (x64) Version: 15-07-2019 01
Ran by Absent (18-07-2019 10:30:27) Run:3
Running from C:\Users\Absent\Desktop
Loaded Profiles: Absent (Available Profiles: Absent)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:
Replace: C:\Windows\WinSxS\amd64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_9a83eb2072e563f9\calc.exe C:\Windows\System32\calc.exe
Replace: C:\Windows\WinSxS\wow64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_a4d89572a74625f4\calc.exe C:\Windows\SysWOW64\calc.exe
Reboot:
EmptyTemp:
End
*****************

Processes closed successfully.
Restore point was successfully created.
C:\Windows\System32\calc.exe => moved successfully
C:\Windows\WinSxS\amd64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_9a83eb2072e563f9\calc.exe copied successfully to C:\Windows\System32\calc.exe
C:\Windows\SysWOW64\calc.exe => moved successfully
C:\Windows\WinSxS\wow64_microsoft-windows-calc_31bf3856ad364e35_10.0.17763.1_none_a4d89572a74625f4\calc.exe copied successfully to C:\Windows\SysWOW64\calc.exe

=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 20359555 B
Java, Flash, Steam htmlcache => 17070070 B
Windows/system/drivers => 3380027 B
Edge => 175081 B
Chrome => 355448387 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 1244726 B
systemprofile32 => 42449 B
LocalService => 1436 B
LocalService => 0 B
NetworkService => 14670 B
NetworkService => 0 B
Absent => 18517545 B

RecycleBin => 104 B
EmptyTemp: => 404.5 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 10:31:25 ====

Muchas gracias, Saludos!

Hola @Codex_Oscura

Vuelve a ir a la Tienda y descargarte e instalar la Calculadora a ver si te lo permite.

Por el momento si puedes déjalo así

Perfecto Si tu los conoces no hay problema…

Algo encontró y eliminó también.

Por el momento realiza lo siguiente:

Ve a la carpeta C:\Windows\Prefetch entra a la carpeta, elimina todo el contenido, pero NO la carpeta.

Puede que este un poco mas lenta al reiniciar, pero esto se acomodara pronto.

Realiza un mínimo de tres reinicios.

Vuelve por aquí y nos comentas como va, si hay algún problema, ejecutas nuevamente FRST como la primera vez y traes un reporte fresco.

Salu2

Hola @SanMar!

Hasta ahora no han habido incidencias. Hice todo lo que me pediste y no ha habido ningún problema. Respecto a la calculadora, te comento que la copié desde mi notebook con toda la carpeta y tampoco se mantiene abierta. Por lo que veré una calculadora alternativa en internet.

Agradezco mucho toda la ayuda brindada. Si quieres puedes dar por solucionado el problema, y, en caso de que aparezca de nuevo el Ad/Malware estaré aquí de vuelta para que me echen un mano.

Saludos y gracias nuevamente! :wave:

Hola @Codex_Oscura

Para eliminar las herramientas utilizadas:

Descargas >> Delfix, a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.