Problema con un virus en un portatil que está nuevo

¿Está bien así? ¿Va bien la cosa? ¿Repito algo?

Hola

Está perfecto!!! :+1:

Tengo que revisarlo y hasta mañana ya no podré hacerlo, pero mirando por encima he visto esto:

c0a04042

Busca en el disco a ver que es y me pones las ruta completa de donde se encuentra.

Un saludo

Ok gracias lo haré por la mañana que estoy muerto xD

De acuerdo, no hay problema :+1:

De nada.

Un saludo

Como busco el archivo ¿abriendo carpetas y buscando sin más? Tengo como 700 gb de cosas me va a ser bastante difícil encontrarlo.

Hola

Puedes buscarlo en el explorador, lo escribes en donde pone “Buscar” arriba derecha aunque tardará bastante, tienes muy lleno el disco.

Primero mira en esta ruta a ver si esta en esa carpeta:

C:\ProgramData\Intel\Wireless

Aunque no se encuentre en esa carpeta, si tienes esa carpeta en tu equipo dime lo que hay dentro o haz una captura.

Un saludo

Me sale eso, ¿quieres que haga captura de lo que hay dentro? En el primero hay una carpeta y 2 archivos y una aplicación y en el segundo hay una carpeta. Por cierto al hacer la captura y meterme en la carpeta de imágenes he visto que hay capturas de vídeos que he visto y tal pero que yo no he hecho. También he buscado el c0a04042 en el buscador de arriba a la derecha del explorador de windows y no ha encontrado nada aunque luego le he dado arriba a la izquierda a buscar de nuevo en bibliotecas y ha encontrado una entrada de resgitro que se llama cc_20191231_003812. Por cierto me pone que por ser usuario nuevo no puedo poner más respuestas hasta dentro de 9 horas así que voy editando este mensaje.

Hola

Si te das una vuelta por el foro y lees algún tema o das “me gusta” podrás ya responder, de todas formas después de responder ya quizás te deje hacerlo.

Haz captura de esas dos carpetas para saber exacto lo que tienen.

Un saludo

Siento responder tan tarde, el foro no me dejaba poner ningún comentario aunque lo he intentado xD. Dentro de la primera carpeta tengo esto.

Y dentro de la carpeta esa que hay dentro de la primera carpeta que se llama ee26254d (se que se ve en la foto, es por aclarar) tengo esto: En cuanto a la segundo carpeta (me refiero a la segunda de las 2 que hay dentro lo de intel wireless) tengo esto: Es otra carpeta pero esta vacía.

Hola

No descargaste y ejecutaste FRST desde el escritorio como te indiqué, muevelo allí pero que no esté dentro de ninguna carpeta, si no no funcionará.

:arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe( en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

A continuación :warning: con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKU\S-1-5-21-1433028520-3012534129-4154773851-1001\...\Run: [] =>  [X]
CHR Extension: (GoGameGo) - C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\higcigoafojkihnmbomhaiflmemjpbhd [2019-12-31]
CHR Extension: (Chrome Media Router) - C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-14]
OPR Extension: (Amazon Assistant for Opera) - C:\Users\danie\AppData\Roaming\Opera Software\Opera Stable\Extensions\mmmbddcnnndpbdflpccgcknaaabgldak [2019-11-11]
2019-12-01 01:18 - 2019-12-01 01:19 - 000000000 ____D C:\testintel2
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
C:\ProgramData\Intel\Wireless\4defa53
C:\ProgramData\Intel\Wireless\105a0a7

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.


Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
  • Presionar el botón FIX y aguardar a que termine.
  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo

Hola Daniela siento tardar tanto en responder, el FRST64 si que lo tengo en el escritorio, he intentado abrir ubicación del archivo y demás pero lo único que tengo de FRST64 está en el escritorio y debería estar instalado y tal completo porque lo utilicé el otro día. ¿Sigo con el resto de pasos? ¿No es posible hacer alguna llamada por discord o algo así y resolverlo así más rápido? Entiendo que no se pueda pero vendría bastante bien porque no habría que estar pasando capturas y también vendría mejor para no equivocarse a la hora de hacer exámenes y tal porque las opciones de la guía no son las mismas que hay en los programas, supongo que por tema de actualizaciones.

Hola

En el reporte de Frst no dice que lo hayas ejecutado desde el escritorio.

Pero si ahora lo tienes ahí puedes continuar con los pasos que te indiqué.

Un saludo

A, puede ser porque aunque lo guardé en el escritorio le hice doble clic desde el navegador cuando se instaló. Voy a seguir los pasos ahora te cuento.

Hola te dejo el reporte pero no va servir de nada lo siento, se me ha olvidado poner el modo seguro antes de hacerlo. Lo repito igual o cambio algo. Lo siento por hacerte perder tiempo de verdad. Reporte:

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 28-12-2019
Ejecutado por danie (01-01-2020 23:46:05) Run:1
Ejecutado desde C:\Users\danie\Desktop
Perfiles cargados: danie (Perfiles disponibles: danie)
Modo de Inicio: Normal
==============================================

fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKU\S-1-5-21-1433028520-3012534129-4154773851-1001\...\Run: [] =>  [X]
CHR Extension: (GoGameGo) - C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\higcigoafojkihnmbomhaiflmemjpbhd [2019-12-31]
CHR Extension: (Chrome Media Router) - C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-14]
OPR Extension: (Amazon Assistant for Opera) - C:\Users\danie\AppData\Roaming\Opera Software\Opera Stable\Extensions\mmmbddcnnndpbdflpccgcknaaabgldak [2019-11-11]
2019-12-01 01:18 - 2019-12-01 01:19 - 000000000 ____D C:\testintel2
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
C:\ProgramData\Intel\Wireless\4defa53
C:\ProgramData\Intel\Wireless\105a0a7

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END
*****************

El punto de restauración fue creado correctamente.
Procesos cerrados correctamente.
"HKU\S-1-5-21-1433028520-3012534129-4154773851-1001\Software\Microsoft\Windows\CurrentVersion\Run\\" => eliminado correctamente
CHR Extension: (GoGameGo) - C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\higcigoafojkihnmbomhaiflmemjpbhd [2019-12-31] => Error: Ninguna corrección automática encontrada para esta entrada.
CHR Extension: (Chrome Media Router) - C:\Users\danie\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-14] => Error: Ninguna corrección automática encontrada para esta entrada.
OPR Extension: (Amazon Assistant for Opera) - C:\Users\danie\AppData\Roaming\Opera Software\Opera Stable\Extensions\mmmbddcnnndpbdflpccgcknaaabgldak [2019-11-11] => Error: Ninguna corrección automática encontrada para esta entrada.
C:\testintel2 => movido correctamente
C:\Users\Public\Shared Files => ":VersionCache" ADS eliminado correctamente
C:\ProgramData\Intel\Wireless\4defa53 => movido correctamente
C:\ProgramData\Intel\Wireless\105a0a7 => movido correctamente
C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01012020002430570\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01012020002430570\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-1433028520-3012534129-4154773851-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-1433028520-3012534129-4154773851-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-1433028520-3012534129-4154773851-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01012020002430914\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-1433028520-3012534129-4154773851-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01012020002430914\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Ethernet mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local* 1 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local* 2 mientras los medios
est‚n desconectados.

Adaptador de Ethernet Ethernet:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : home

Adaptador de LAN inal mbrica Conexi¢n de  rea local* 1:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de  rea local* 2:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Wi-Fi:

   Sufijo DNS espec¡fico para la conexi¢n. . : home
   V¡nculo: direcci¢n IPv6 local. . . : fe80::d0d1:f6dc:70de:cf78%10
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.106
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 192.168.1.1

========= Final de CMD: =========


========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to cancel {E45A5426-A676-43EB-92C1-FBC88AA6C9F9}.
0 out of 1 jobs canceled.

========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 49710574 B
Java, Flash, Steam htmlcache => 115956055 B
Windows/system/drivers => 700056 B
Edge => 5085084 B
Chrome => 14666472 B
Firefox => 0 B
Opera => 182451174 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 20138 B
NetworkService => 24584 B
danie => 24787133 B

RecycleBin => 4693089 B
EmptyTemp: => 389.9 MB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 23:48:10 ====  

A primera vista, sin hacer pruebas ni nada el ordenador ha iniciado bien aunque un poco lento (normal en un HDD muy lleno), de momento no hay rastro del notepad.exe y una vez iniciado va muy fluido, de hecho creo que con lo nuevo que es el portátil, nunca ha ido tan rápido porque el virus me debió entrar rápido porque llevo bastante tiempo sospechando. Todo bien menos 2 cosas que me parecen bastante GORDAS, 1 sin ningún sentido, cuando juego minecraft que es un juego poco exigente mi gtx 1050 4gb VRAM esta literalmente al 100% y no llega a sacar 60 fps, se que es un portátil y que no es tan potente como escritorio pero con este mismo portátil he estado jugando minecraft 100 fps con la gpu al 70% y no lo entiendo no se si podría ser algún virus de estos de minería o algo y que hay cada 2 por 3 una tarea de interrupciones del sistema que tira muchísimo de recursos y da un tironcillo aunque luego se va rápido.

Hola

No hace falta que lo vuelvas a repetir.

A veces, después de una limpieza se suele quedar algo lento, apágalo y lo vuelves a encender 2 o 3 veces a ver si va mejor.

Me comentas.

un saludo

Ahora te cuento en cuanto al rendimiento pero de primeras lo he encendido y apagado una vez y hay un par de procesos raros: SkypeApp(4) y yourphone.exe(2) y no tienen logo ninguno de los dos. El SkypeApp ha llegado a estar usando disco y unos 200 mb de RAM.

He reiniciado 3 veces y va mejor que hace unos días pero la verdad tampoco es que sea una maravilla, en este rato he conseguido ver el problema de la gráfica, he intentado actualizar los drivers para ver si ese era el problema y el programa (el GeForce Experience) me daba error, he metido el código de error y se debe a un driver corrupto así que a lo mejor con tanta limpieza se ha borrado algún achivo. Con eso puedo ponerme luego pero de momento ¿Cómo va lo del virus? porque he visto por ahí que aunque no tire tantos recursos lo de yourphone.exe puede ser un virus también.

Hola

Con la limpieza no se han tocado ningún driver.

Yourphone.exe es legítimo de Microsoft, se instaló con la actualización de Octubre pero puedes deshabilitarlo de la siguiente manera:

  • Presiona los botones " Windows " + " I " simultáneamente para abrir " Configuración ".
  • Haz clic en la " Opción de privacidad" y selecciona “Aplicaciones en segundo plano” en el panel izquierdo.
  • Desplazarse hacia abajo y desactiva “ Tu teléfono”. También puedes desactivar “Skype”

Vas ha realizar un par de análisis a ver si queda algo más por ahí.

Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres al finalizar, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Comenta como sigue el funcionamiento.

Un saludo

He he hecho un análisis con el primero de los 2, ha tardado mucho pero dice haber corregido 5 virus. No podré hacer el segundo examen hasta mañana seguramente pero te dejo la captura de este.

Hola

Pon el informe de EsetOnline para ver que es lo que detectó y si se eliminó correctamente.

Un saludo