Hola @Carlos_A_Aguilera_F
Ni que decirte que tu equipo esta muy muy infectado.
Por el momento vamos a hechar mano de las herramientas que tenemos disponibles:
Hijackthis:
Con todos los programas cerrados ejecuta HijackThis, marcas las casillas y le das Fix a:
O4 - HKLM..\Run: [new photo today] = C:\WINDOWS\system32\wscript.exe //B “C:\Documents and Settings\Usuario\new photo today.wsf”
O4 - MSConfig\startupreg: new photo today [command] = C:\WINDOWS\system32\wscript.exe //B “C:\Documents and Settings\Usuario\new photo today.wsf” (HKLM) (2019/09/06)
Sin reiniciar:
Combofix:
Con mucha atención realizas lo siguiente:
1.-Abrir el Notepad (Bloc de Notas)
- Ir a INICIO >>> EJECUTAR >>>Escribir notepad.exe presionas ACEPTAR
2.-Ahora copia y pega estos archivos dentro del Notepad:
KillAll::
ClearJavaCache::
File::
c:\documents and settings\All Users\msczvgba.exe
c:\documents and settings\All Users\mszxurb.exe
c:\documents and settings\All Users\msrus.exe
c:\documents and settings\All Users\msrrjppq.exe
c:\documents and settings\All Users\msrdstdl.exe
c:\documents and settings\All Users\mszqk.exe
c:\documents and settings\All Users\mseojsja.exe
c:\documents and settings\All Users\mswomn.exe
c:\documents and settings\All Users\mssioffy.exe
c:\documents and settings\All Users\msrmico.exe
c:\documents and settings\All Users\msjoxdjx.exe
c:\documents and settings\All Users\msvle.exe
c:\documents and settings\All Users\mslrqo.exe
c:\documents and settings\All Users\mssufgzd.exe
c:\documents and settings\All Users\mswvub.exe
c:\documents and settings\All Users\msedcbab.exe
c:\documents and settings\All Users\mstlxgnln.exe
c:\documents and settings\All Users\mshtoilup.exe
c:\documents and settings\All Users\mstufu.exe
c:\documents and settings\All Users\msdebm.exe
c:\documents and settings\Usuario\Menú Inicio\Programas\Inicio\hsokgvhv.exe
C:\Documents and Settings\Usuario\Menú Inicio\Programas\Inicio\new photo today.wsf
C:\Documents and Settings\Usuario\new photo today.wsf
c:\docume~1\Usuario\CONFIG~1\Temp\cda651c1.sys
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"new photo today"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"new photo today"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"436132099"=-
"1764075473"=-
"1926443024"=-
"1692381455"=-
"783390920"=-
"388179523"=-
"758296176"=-
"1593735951"=-
"778476044"=-
"141361049"=-
"1053966845"=-
"833475911"=-
"2010957141"=-
"2062524798"=-
"271504752"=-
"1106306397"=-
"988869439"=-
"64664161"=-
"520404623"=-
"763737042"=-
Driver::
46e6371d9b296008
cda651c1
3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.
4.- Arrastrar y soltar el archivo CFScript.txt sobre el archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.
- Reinicia tu PC y
FRST:
Sigue estos pasos:
1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.
- Descarga DelFix en el escritorio de Windows.
- Clic Derecho, “Ejecutar como Administrador”.
- En la ventana principal, marca solamente la casilla “Create Registry Backup”.
- Clic en Run.
Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…
2.- Desactiva Temporalmente tu antivirus o programa de seguridad si tuvieras instalado
3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:
Start
CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
URLSearchHook: HKU\S-1-5-21-1390067357-602609370-1177238915-1003 - Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\shdocvw.dll (Microsoft Windows Component Publisher -> Microsoft Corporation)
SearchScopes: HKLM -> DefaultScope value is missing
BHO: Easy Photo Print -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> C:\Archivos de programa\Epson Software\Easy Photo Print\EPTBL.dll => No File
FF user.js: detected! => C:\Documents and Settings\Usuario\Datos de programa\Mozilla\Firefox\Profiles\ciuxqc4a.default-1392828428859\user.js [2019-09-06]
CHR HomePage: Default -> hxxp://search.iminent.com/?appId=030E909B-8E6C-4EBA-A104-09DC9A6CFF88
CHR StartupUrls: Default -> "hxxp://search.iminent.com/?appId=030E909B-8E6C-4EBA-A104-09DC9A6CFF88"
S3 46e6371d9b296008; \??\C:\DOCUME~1\Usuario\CONFIG~1\Temp\cda651c1.sys [X]
C:\DOCUME~1\Usuario\CONFIG~1\Temp\cda651c1.sys
2019-09-07 00:24 - 2019-09-06 18:25 - 355466904 _____ (AVAST Software) C:\Documents and Settings\Administrador.USUARIO-A9169BD\Escritorio\avast_free_antivirus_setup_offline.exe
2019-09-06 23:34 - 2019-09-06 23:08 - 186328088 _____ (Avira Operations GmbH & Co. KG) C:\Documents and Settings\Usuario\Escritorio\avira_antivirus_es-es.exe
2019-09-06 18:30 - 2019-09-06 18:25 - 355466904 _____ (AVAST Software) C:\Documents and Settings\Usuario\Escritorio\avast_free_antivirus_setup_offline.exe
2019-09-06 09:09 - 2019-09-06 08:55 - 064660208 _____ (Malwarebytes ) C:\Documents and Settings\Usuario\Escritorio\mb3-setup-009996.009996-3.8.3.2965-1.0.613-1.0.11804.exe
2019-09-05 22:01 - 2019-09-05 21:44 - 198856576 _____ C:\Documents and Settings\Usuario\Escritorio\ejevf5il.exe
2019-09-06 10:30 - 2017-05-25 12:21 - 000000000 ____D C:\Documents and Settings\All Users\Datos de programa\AVAST Software
2019-08-30 08:45 - 2011-02-18 03:57 - 000000000 ____D C:\rnom
2019-08-29 13:31 - 2017-08-01 13:41 - 000000017 _____ C:\AnoProceso.TXT
2019-08-20 08:09 - 2019-01-22 08:41 - 000020484 ____H C:\Documents and Settings\Usuario\Escritorio\~WRL0003.tmp
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:MSFT_UCScenarioControl.Name=\"Microsoft WMI Updating Consumer Scenario Control\"",Filter="\\.\root\subscription:__EventFilter.Name=\"Microsoft WMI Updating Consumer Scenario Control\"::
WMI:subscription\__EventFilter->Microsoft WMI Updating Consumer Scenario Control::[Query => SELECT * FROM __InstanceOperationEvent WHERE TargetInstance ISA 'MSFT_UCScenario']
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
- Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.
Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.
- Ejecutas Frst.exe.
- Presionas el botón Fix y aguardas a que termine.
- La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
- Lo pegas en tu próxima respuesta.
Aun después de estos pasos restan varios archivos de Sistema infectados, por lo cual luego de reiniciar realiza lo siguiente:
Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.
Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso
- Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.
Nos comentas como sigue el problema, y nos pegas todos los reportes, por tu seguridad puedes imprimir los pasos.
Salu2.