PC sobremesa infectado

Hola!

Bueno pues he seguido los últimos pasos las dos veces tal y como comentaste. No he notado ninguna diferencia en el equipo desde la última vez. No sé si podríamos darlo por solucionado o cómo lo ves…

Ya me dices. Muchísimas gracias por toda tu ayuda, de verdad!

EDIT: Sólo una última cosa! Hay un mensaje recurrente cada vez que inicio el PC. Es de algo llamado “Egis Update”, el cual no reconozco ni sé qué es. Me dice que “no se pueden obtener las actualizaciones más recientes del servidor Egis. Vuelva a intentarlo más tarde”. Y esto, como digo, en cada ocasión que enciendo el PC. No sé si sabes qué es, si lo puedo desinstalar…

Gracias de nuevo!

Hola.

Tienes el ROUTER encendido cuando te sale ese mensaje…??

Diferencia NO deberías notar.

Solo comentar SI hubo alguna incidencia al realizar esos pasos, que YA imagino que NO.

De momento NO cerramos o terminamos el tema hasta que NO te indique nuevos pasos que deberás hacer en cuanto nos comentes si tenias el ROUTER encendido.

Saludos.

Hola! Pues el router estaba encendido pero además, el PC está conectado directamente a través del cable Ethernet

De momento NO cerramos o terminamos el tema hasta que NO te indique nuevos pasos que deberás hacer en cuanto nos comentes si tenias el ROUTER encendido.

Jajaja, vale vale! Yo es que no quiero molestar demasiado. Mil gracias!

Saludos.

Bien… y ahora sigue estos pasos, MUY Importante Realiza una copia de seguridad del registro :

• Para hacerlo descarga DelFix.exe(en tu escritorio).

• Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

• Atención, ahora marca/selecciona únicamente la casilla Create registry backup, las demás casillas NO.

• Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Con los demás programas cerrados ve a Inicio Ejecutar y escribe Notepad.exe.

• Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM-x32\...\Run: [EgisTecLiveUpdate] => C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe [199464 2009-08-04] (EGIS TECHNOLOGY INC. -> Egis Technology Inc.)
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio Esto es muy importante.

Nota Es importante que la herramienta FRST.exe(Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.

Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

• Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).

• Presionar el botón FIX/Corregir y aguardar a que termine.

• La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pegar el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado del error con “Egis Update”.

Saludos.

Hola de nuevo! aquí traigo el log:

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 02-02-2020 02
Ejecutado por Michelle (03-02-2020 14:45:20) Run:3
Ejecutado desde C:\Users\Michelle\Desktop
Perfiles cargados: Michelle (Perfiles disponibles: Michelle)
Modo de Inicio: Safe Mode (with Networking)
==============================================

fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM-x32\...\Run: [EgisTecLiveUpdate] => C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe [199464 2009-08-04] (EGIS TECHNOLOGY INC. -> Egis Technology Inc.)
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END
*****************

Error: El punto de restauración solamente puede ser creado en modo normal.
Procesos cerrados correctamente.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\EgisTecLiveUpdate" => eliminado correctamente
C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2643830536-2089768480-1739025679-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2643830536-2089768480-1739025679-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows


Adaptador de Ethernet Conexi¢n de  rea local:

   Sufijo DNS espec¡fico para la conexi¢n. . : 
   V¡nculo: direcci¢n IPv6 local. . . : fe80::2148:53cd:7fe7:1666%15
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.0.20
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 192.168.0.1

========= Final de CMD: =========


========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to connect to BITS - 0x8007043c
El servicio no puede iniciarse en modo a prueba de errores



========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12807021 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1137988 B
Edge => 4110747 B
Chrome => 107240694 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 7586 B
NetworkService => 7586 B
Michelle => 5668116 B
DefaultAppPool => 5668116 B

RecycleBin => 0 B
EmptyTemp: => 137.8 MB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 14:45:51 ====

El mensaje de Egis ya no ha vuelto a salir al encender el equipo. Lo que sí ha salido es un aviso del Firewall de Windows:

Ha bloqueado Akamai Netsession Client en todas las redes públicas y privadas:

Nombre: Akamai Netsession Client

Editor: Akamai Technologies, Inc

Ruta: C/users/michelle/appdata/local/akamai/netsession_win_exe

Como no sabía qué era he pulsado el botón de cancelar…

Gracias por tu tiempo!

Hola.

Lo que te ha pedido el Firewall de Windows deberías haberlo aceptado, ese software lo tienes instalado en tu equipo y es totalmente legal.

Akamai NetSession Interface (HKU\S-1-5-21-2643830536-2089768480-1739025679-1000.…\Akamai) (Version: - Akamai Technologies, Inc)

Eso ha ocurrido al haber realizado el paso del FIX en él ponemos instrucciones para limpiar TODAS las entradas que existan “ACEPTADAS” en el Firewall de Windows y por eso te pueden salir nuevamente peticiones de aquellos software que necesitan tener permiso para conectarse a Internet.

Por aquí te dejo un poco de información de ese software :

Seguro que te vuelve a salir el mensaje en algún momento o en algún nuevo Reinicio del equipo, Acéptalo tranquilamente.

Y ahora quiero que vayas entrando en cada una de las web donde tuvieras creado algún usuario y contraseña(Amazon, correo mail, web de cualquier tipo o paginas donde os hubierais dado de alta…, incluido este Foro, etc.) y cambiéis la contraseña por una nueva y NO usada anteriormente.

Hacerlo en TODAS partes, incluso SI YA lo habíais realizado, volverlas a cambiar.

Cuando hayáis terminado nos lo comentas para darte los últimos pasos, gracias.

Saludos.

Hola de nuevo!

Perdón por no venir antes, está siendo una semanita un poco de locos. Creo que ya tenemos todas las cosas importantes con la contraseña actualizada de nuevo (menudo rollo pero entiendo que es necesario)

Ayer, justo antes de modificar las mías de gmail tuvimos otro intento de cargo fraudulento (esta vez afortunadamente el banco no lo autorizó, menos mal). Ya no sé si está asociado de alguna manera o si ha sido casualidad porque ha sido en una tarjeta que no utilizábamos demasiado (que precisamente se nos olvidó cancelarla por lo mismo).

En cualquier caso estoy un poco emparanoiada

(Por cierto, agradezco a quien haya tenido el detalle de borrar el comentario sobre el cambio de pareja, del cual he recibido notificación por email. De muy mal gusto y pensaba reportarlo).

En fin… gracias de nuevo, no me cansaré de darlas.

Hola.

No hay problema, eso nos pasa a todos.

Perfecto.

También accedíais a vuestras cuentas bancarias desde ese ordenador…??

Habéis cambiado las contraseñas de acceso a las cuentas bancarias…??

Pedirle a vuestra entidad bancaria que os de de baja TODAS las tarjetas bancarias que tuvierais(se hayan visto afectadas o NO) y os hagan nuevas e incluso(de ser posible) que cambien los datos(el usuario de acceso o clave) de acceso a vuestras cuentas por Internet.

No me extraña.

Fui yo mismo el que se encargo de eliminar semejante “estupidez”, que aunque pudiera ser un simple comentario “jocoso festivo”, NO tiene la menor gracia.

Un placer, Gracias a ti por confiar en nosotros.

Para quedarnos más tranquilos, quiero que hagas una ultima verificación; utiliza las indicaciones que se dan en este Manual de HitmanPro y nos pones el informe con los resultados.

Saludos.

Bueno, ya he seguido los últimos pasos!

A ver, acceder a los bancos desde este ordenador juraría que no, porque últimamente apenas lo encendíamos y no hace demasiado tiempo que trabajamos con esta entidad bancaria, sobre todo lo hacemos todo desde el móvil. Yo me inclino más por el hecho de que las tarjetas estaban guardadas en google… En teoría las eliminamos el otro día, pero a lo mejor esta no… No sé. En cualquier caso ayer las solicitamos todas nuevas y hoy he modificado claves de acceso a la banca online siguiendo tus sugerencias

Y he aquí el log de Hitman Pro:

HitmanPro 3.8.16.310
www.hitmanpro.com

   Computer name . . . . : CHLOE-UAT
   Windows . . . . . . . : 10.0.0.18362.X64/4
   User name . . . . . . : CHLOE-UAT\Michelle
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Trial (31 days left)

   Scan date . . . . . . : 2020-02-06 19:19:01
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 12m 22s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 3

   Objects scanned . . . : 2.710.212
   Files scanned . . . . : 96.682
   Remnants scanned  . . : 663.434 files / 1.950.096 keys

Suspicious files ____________________________________________________________

   C:\Users\Michelle\Desktop\FRST64.exe
      Size . . . . . . . : 2.279.424 bytes
      Age  . . . . . . . : 3.2 days (2020-02-03 14:45:04)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 63203A51EF8DD93F89A33521569DB580E45AA659313CA307AFFDC9C9E7DBF7FE
      Needs elevation  . : Yes
      Fuzzy  . . . . . . : 24.0
         Program has no publisher information but prompts the user for permission elevation.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Time indicates that the file appeared recently on this computer.
      Forensic Cluster
         -1.4s C:\Users\Michelle\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\6AF4EE75E3A4ABA658C0087EB9A0BB5B_B1FE1475D856CCCFD81FE52AB6DF1552
         -1.4s C:\Users\Michelle\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\6AF4EE75E3A4ABA658C0087EB9A0BB5B_B1FE1475D856CCCFD81FE52AB6DF1552
          0.0s C:\Users\Michelle\Desktop\FRST64.exe
          0.7s C:\$RECYCLE.BIN\S-1-5-21-2643830536-2089768480-1739025679-1000\$RQP0B88\


Potential Unwanted Programs _________________________________________________

   HKLM\SOFTWARE\Classes\Software.OneClickProcessLauncherMachine.1.0\ (BoxoreOU) -> Deleted
   HKLM\SOFTWARE\Classes\Software.OneClickProcessLauncherMachine\ (BoxoreOU) -> Deleted

Totalmente… bastante mal se siente ya el pobre. Así que gracias de nuevo ^^

Hola.

Excelente… TODO en orden y perfectamente explicado por tu parte.

Y ahora vamos a eliminar las herramientas usadas.

Para terminar:

• Descarga DelFix.exe en tu escritorio.

• Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")

• Marca todas las casillas.

• Pulsar en Run.

Se abrirá el informe (DelFix.txt), copia y pega ese informe en tu próxima respuesta.

Y nos comentas como sigue y/o notas el ordenador.

Saludos.

Hola!!!

Perdón, no me había olvidado… pero ni tiempo de arrancar el PC había tenido… Bueno, por fin pude hacer los últimos pasos indicados para eliminar las herramientas y traigo el log!

# DelFix v1.013 - Logfile created 03/03/2020 at 20:59:39
# Updated 17/04/2016 by Xplode
# Username : Michelle - CHLOE-UAT
# Operating System : Windows 10 Home  (64 bits)

~ Activating UAC ... OK

~ Removing disinfection tools ...

Deleted : C:\_OTL
Deleted : C:\FRST
Deleted : C:\AdwCleaner
Deleted : C:\Users\Michelle\Desktop\adwcleaner_8.0.1.exe
Deleted : C:\Users\Michelle\Desktop\FRST64.exe
Deleted : C:\Users\Michelle\Desktop\JRT.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner

~ Creating registry backup ... OK

~ Cleaning system restore ...

Deleted : RP #11 [Punto de control programado | 02/12/2020 17:31:14]
Deleted : RP #12 [Punto de control programado | 03/03/2020 15:10:28]

New restore point created !

~ Resetting system settings ... OK

########## - EOF - ##########

En cuanto al ordenador, pues creo que sigue como las últimas veces… ha vuelto a funcionar un poco más lento (los primeros días de limpieza parecía que volaba… tal vez pueda tener que ver que lo arrancaba a diario porque estaba de baja… a saber :P), pero vaya, era su estado normal… creo que ya le va tocando un cambio…

Pues… de nuevo mil gracias por todo! no sé qué haríamos sin este foro!

Hola.

Bien… esto que comentas es muy probable, debes tener en cuenta que TU equipo YA tiene unos años de antigüedad, el modelo de procesador es de hace 10 años :

Procesador: Intel(R) Core™ i3 CPU 530 @ 2.93GHz

Los modelos de procesador Intel tipo “i3” es la gama mas baja en rendimiento.

La memoria que tienes instalada es poca y la que le deja disponible al resto de procesos muy escasa :

RAM física total: 3959.09 MB(4Gb)

RAM física disponible: 1577.07 MB(1,5Gb)

Para un buen rendimiento en las nuevas versiones de W10 es aconsejable tener al menos 8Gb de RAM total y preferiblemente que estos se repartan en dos módulos y cada uno en uno de los dos canales/slots de memoria que suelen tener(al menos) los equipos de sobremesa.

Ademas de incrementarle la memoria(que es una primer opcion y NO excesivamente cara) otra alternativa a considerar es la instalación/cambio del disco duro del sistema operativo por uno nuevo y de tipo SSD.

Windows(casi desde sus inicios, pero mas intensamente desde W8) usa un sistema de memoria virtual, para cuando la memoria física se llena, que consiste en usar un fichero del disco duro(pagefile.sys) como memoria virtual añadida.

Esa forma de trabajar se ha ido incrementado cada vez mas por parte de Windows y eso provoca que en muchos casos y en discos duros antiguos se “dispare” el uso del disco(al volcar la memoria en ese fichero) y eso provoque lentitud general del sistema.

Con los nuevos discos SSD se consiguen mejoras de rendimiento de 10 a 1(en ocasiones mas), un sistema con windows 10 que tarda por ej. 3 minutos desde que enciendes el equipo hasta que llegas al escritorio de windows y puedes ejecutar el navegador, puede reducir ese tiempo a unos 30 segundos en total.

Por aquí te dejo una excelente explicación y comparativa que incluye videos https://www.losmejoresdiscosssd.es/

Por unos 80€ te puedes comprar un Samsung 860 EVO - Disco estado solido SSD (500 GB, 6 Gb/s), que para uso personal es una excelente elección.

Por nuestra parte poco mas queda por comentar, ha sido un placer poder ayudaros.

Saludos, Javier.