Ransomware sadogo en mi pc

Buenas noches, acudo a solicitar ayuda por el siguiente motivo: El dia de ayer se instalo un virus tipo Ransomwere en mi pc aproximadamente a las 11:00 am. Encripto todos mis archivos, documentos y algunas aplicaciones. No estoy seguro de como llego allí supongo que fue vía mi pendrive el cual había usado horas antes en un establecimiento local para imprimir unos planos y cuando lo coloque en la pc todos los archivos estaban encriptados, tanto dentro de la unidad portatil como en la pc. Busque formas de erradicarlo vía internet y a través de esas secuencias, ejecute las siguientes acciones: -Ingrese en modo seguro. -Elimine un par de registros del “Editor de registros” que se encontraban en la siguiente ruta HKEY_LOCAL_MACHINE/SOFTWARE/Windows/CurrentVersion/Run en esta ruta se encontraban un par de enlaces desconocidos que investigue en google se trataban de registros malignos. -Ejecute en modo seguro el malwerebytes el mismo detecto 26 archivos infectados que luego elimine. -Reinicie la pc e intente ubicar el archivo que desencadeno todo esto, segun la fecha de ultima modificación de cada carpeta, resulta ser que hay una carpeta en la unidad C:/ProgramData que se llama ErrorResponder hasta horas de la noche de ayer daba como registro de fecha de modificación una hora entre las 11 y las 12, justo en este momento que revise nuevamente da como fecha de ultima modificacion, pues justo el dia de hoy a las 7:10pm cabe decir que no he abierto siquiera la carpeta por lo tanto esta ejecutándose por si misma, ayer elimine casi todos los archivos q esta carpeta tenia, sin embargo revisando justo ahora, tenia un archivo nuevo llamado “ahokzaabehotra”.

  • Cabe decir que no puedo hacer una restauración de sistema ya que estos malweres se encargan de eliminar los últimos puntos de restauración. También después de ejecutar el malwerebytes el diagnostico fue que ya no habían problemas en mi pc sin embargo esta carpeta que mencione de ErrorResponder aun sigue activa y lo peor es que no puedo eliminarla el ejecutable dentro de esa carpeta sigue también allí a pesar de que logre eliminar el resto de archivos que lo acompañaban. Intente investigar en diferentes foros pero no hay respuesta aun de como solucionar esto, tambien en otro de los temas de ayuda de esta pagina encontre un programa para identificar el tipo de ransomwere el “id-ransomwere” el mismo me arrojo el resultado que se trata del virus sadogo, del cual aun no hay suficiente información en este momento. La verdad requiero la pc para trabajar. Poseo un laptop, la cual ni quiero tocar por el miedo a que también se infecte, muchos de los archivos que se encuentran en la pc infectada, están resguardados en la laptop, por lo tanto no me importa perder la información que se encuentra en la pc infectada. He igualmente recuperar el pendrive ya me encuentro en Venezuela y pues ya se imaginaran lo caótico que es la situación económica aquí como para adquirir otro dispositivo. Estuve leyendo de restablecer la pc a su modo de fabrica, pero nunca antes he realizado eso, por lo tanto me da algo de miedo que no resuelva el problema, y termine realizando algo indebido. Y debido a eso acudo a ustedes con la esperanza de una solución viable. También otra duda con respecto a cambiar el nombre de la app vssadmin con el fin de evitar que el virus elimine los puntos de restauración. ¿Es seguro hacer eso? Gracias de antemano por su respuesta.

Hola @irving_cedeno1

Como son varias consultas en una vamos por partes.

Con unidad portátil a que te refieres a tu Unidad USB o a un equipo portátil

Manualmente si no tienes amplios conocimientos te sera casi imposible eliminarlo por completo, ya que buscando en Google suele ser confuso y podrás dañar tu Sistema.

Debes pegar los reportes para que te podamos ayudar.

Debes pegarnos el enlace a el resultado que te dio ID Ransomware.

Sube la nota de rescate y uno de tus archivos encriptados al siguiente enlace:

Te dará un resultado, copia el enlace de la pagina y nos pegas ese enlace en tu próxima respuesta.

Por el momento aun no es necesario.

Comencemos a desinfectar tu equipo y el USB:

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos:

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • NO necesitamos este reporte

USBFix:

  • Conecte todos sus dispositivos extraibles, USB/Pendrive\Micro SD, etc.
  • Ejecute USBFix.exe
  • Una vez conectados todos sus dispositivos presione en "Ejecutar análisis."
  • Posteriormente seleccione “Full Análisis” y espere a que termine.
  • En caso de detectar amenazas, seleccione todo los elementos detectados y presione "Limpiar todo"
  • Si le pidiera reiniciar el sistema, Acepte .
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado.
  • Copie y pegue entero dicho reporte en su próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio)

Una vez terminado el análisis, con todas las unidades conectadas, vuelva a ejecutar USBFix como Administrador, y vacune los mismos, siguiendo los pasos del Manual.

Malwarebytes

  • No olvides actualizarlo.
  • Lee detenidamente su Manual
  • Realiza un Análisis Personalizado. Selecciona todas las unidades.
  • Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
  • Reinicias el Sistema.
  • En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de Malwarebytes y USBFix.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

https://id-ransomware.malwarehunterteam.com/identify.php?case=5dca98e73d635171ffc9360b1bd211d320a332a3

Enlace de respuesta de Id Ransomware

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 24/4/20
Hora del análisis: 21:23
Archivo de registro: 5bd1db64-8693-11ea-826c-002564ecdf7f.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.867
Versión del paquete de actualización: 1.0.22320
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: DATA-Link-PC\DATA-Link

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 290107
Amenazas detectadas: 24
Amenazas en cuarentena: 24
Tiempo transcurrido: 3 min, 1 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DFB61586-BB95-459A-93EF-24768B032630}, En cuarentena, 1112, 676758, 1.0.22320, , ame, 
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{DFB61586-BB95-459A-93EF-24768B032630}, En cuarentena, 1112, 676759, , , , 
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Opera scheduled Autoupdate 711520318, En cuarentena, 1112, 676759, 1.0.22320, , ame, 

Valor del registro: 1
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DFB61586-BB95-459A-93EF-24768B032630}|PATH, En cuarentena, 1112, 676758, 1.0.22320, , ame, 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 20
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\pyexpat.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\select.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\unicodedata.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\winsound.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_asyncio.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_bz2.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_ctypes.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_decimal.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_elementtree.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_hashlib.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_lzma.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_msi.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_multiprocessing.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_overlapped.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_queue.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_socket.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_sqlite3.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
PUP.Optional.SearchNewTab, C:\Users\DATA-Link\AppData\Roaming\SearchNewTab\python\_ssl.pyd.[25C73809].Encrypted, En cuarentena, 143, 173193, , , , 
Trojan.SmokeLoader, C:\WINDOWS\SYSTEM32\TASKS\OPERA SCHEDULED AUTOUPDATE 711520318, En cuarentena, 1112, 676759, , , , 
Trojan.Agent.Generic, C:\USERS\DATA-LINK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FJBCVTTB.LNK, En cuarentena, 3718, 536200, 1.0.22320, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
# ----------------------------------------------------
# UsbFix Antivirus Premium
# ----------------------------------------------------
# Versión : 11.029
# Base de datos :  
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Windows [Auto Scan]
# Usuario : DATA-Link (Administrador)
# Dispositivo : DATA-LINK-PC
# Comenzó : 26/04/2020 17:09:13
# ----------------------------------------------------

------------ | Discos analizados |

C:\	NTFS	(5GB/74GB)	[Fixed] 

------------ | Elemento(s) infectado(s) |

~ Ningún elemento detectado ~

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe
04 - HKCU\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKLM\..\Run : [jswtrayutil] "C:\Program Files (x86)\Jumpstart\jswtrayutil.exe"
04 - HKLM\..\Run : [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
04 - HKLM\..\Run : [Autodesk Desktop App] "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe" -tray
04 - HKLM\..\Run : [kffee] C:\Windows\kffee.exe
04 - HKLM\..\Run : [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Acrotray.exe"
04 - [x64] HKLM\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - [x64] HKLM\..\Run : [pac] C:\Program Files\Autodesk\Personal Accelerator for Revit\RevitAccelerator.exe
04 - [x64] HKLM\..\Run : [AdobeGCInvoker-1.0] "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe"
04 - [x64] HKLM\..\Run : [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-499082674-3892550817-2984342719-1000\..\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe
04 - HKU\S-1-5-21-499082674-3892550817-2984342719-1000\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKU\S-1-5-18\..\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04GS - TP-LINK Wireless Utility.lnk : C:\Program Files (x86)\TP-LINK\Common\TWCU.exe
04GS - Welcome.lnk : C:\Welcome\Welcome.exe

------------ | Tasks |

Task - Adobe Acrobat Update Task --> C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Task - Adobe Flash Player Updater --> C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task - AdobeGCInvoker-1.0 --> C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe -mode=scheduled
Task - Baidu LiveUpdate --> C:\Program Files (x86)\Baidu WiFiHotspot\liveupdate.exe
Task - CCleaner Update --> C:\Program Files\CCleaner\CCUpdate.exe
Task - CCleanerSkipUAC --> "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0)
Task - DB Bigupgrade Task (One Time) --> C:\Program Files (x86)\IObit\Driver Booster\7.2.0\dbupgrade7.exe /upgrade
Task - GoogleUpdateTaskMachineCore --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - UsbFix Boot Scan --> "C:\ProgramData\SosVirus\UsbFix\UsbFix.exe" -scanonstart
Task - UsbFix Monitor --> "C:\ProgramData\SosVirus\UsbFix\Modules\UsbFixMonitor.exe"
Task - {C4B92F7D-FAF0-41C2-9FC2-A30D6EC8310D} --> C:\Windows\system32\pcalua.exe -a "C:\Program Files\Malwarebytes\Anti-Malware\mbemsg.exe" -d "C:\Program Files\Malwarebytes\Anti-Malware"

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[26/04/2020 - 17:06:25 | ASH | 1048056 Ko] - hiberfil.sys
[26/04/2020 - 17:06:28 | ASH | 2096116 Ko] - pagefile.sys
[13/04/2020 - 15:38:14 | SHD] - Config.Msi
[23/04/2020 - 22:54:12 | D] - autorun.inf
[07/09/2009 - 00:54:00 | SHD] - $Recycle.Bin
[14/07/2009 - 01:08:56 | SHD] - Documents and Settings
[07/09/2009 - 00:53:45 | SHD] - Archivos de programa
[07/09/2009 - 00:53:49 | RD] - Users
[05/03/2020 - 18:25:06 | RHD] - MSOCache
[06/03/2020 - 03:21:23 | D] - UPI
[19/03/2020 - 12:07:26 | D] - Autodesk
[24/04/2020 - 22:32:48 | HD] - Welcome
[25/04/2020 - 16:29:37 | RD] - Program Files
[26/04/2020 - 16:39:50 | HD] - ProgramData
[26/04/2020 - 17:04:07 | RD] - Program Files (x86)
[26/04/2020 - 17:06:31 | D] - Windows

Elemento(s) infectado(s) : 0
Elementos analizados : 70806 en 00h 00m 08s

# UsbFix-Report-01.txt [5035B]

------------ | E.O.F  |
````

Este informe es del mismo dia que se detecto el virus, hoy realize otro pero genero un informe libre de amenazas de todas formas tambien lo adjuntare

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 26/4/20
Hora del análisis: 17:19
Archivo de registro: 9c6d59c0-8803-11ea-b90f-002564ecdf7f.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.867
Versión del paquete de actualización: 1.0.22320
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: DATA-Link-PC\DATA-Link

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 290355
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 3 min, 27 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
````

El primer informe de malwerebytes que adjunte, es del viernes 24 de abril. El mismo dia que se ejecuto el virus, hoy realize otro informe que me genero libre de amenzas.

Es el pendrive la pc portatil no tiene archivos cifrados.

Con respecto a este reporte, había realizado uno con una versión que ya tenia instalada en la pc, nunca llegue a leerlo pero procedí actualizar la aplicación y realice otro reporte, todo eso fue después de que el virus ya había encriptado todos mis archivos y los del pendrive. El primer reporte no esta en el escritorio solo se encuentra el que ya habia generado sin actualizar el programa "supongo que el segundo reporte suplanto al primero ya que no lo encuentra por ninguna parte incluso dentro de la aplicacion en la opcion del historial de informes solo se encontraba el reporte generado por el programa actualizado. El primer análisis que realice me daba que se habían encontrado 4 amenazas. Uno de esos virus se llama AirHashing el cual. A pesar de haber hecho el analisis y la limpieza con el programa USBFix, aun hay una carpeta con ese nombre dentro del pendrive.

Hola @irving_cedeno1

Toma una imagen o coloca la ruta exacta de la carpeta:

Luego realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Buenas Noches, disculpe no haber pegado el reporte antes, llevo casi un mes sin internet y me generaba algo de miedo ingresar cualquier pendrive en la pc no fuera a ser que le ocurriera lo mismo que le ocurrió a mi pendrive.

El reporte FRST.txt

Resultado del análisis realizado por Farbar Recovery Scan Tool (FRST) (x64) Versión: 13-05-2020 01
Ejecutado por DATA-Link (administrador) sobre DATA-LINK-PC (Dell Inc. Vostro 220s Series) (17-05-2020 18:55:31)
Ejecutado desde C:\Users\DATA-Link\Downloads
Perfiles cargados: DATA-Link
Platform: Windows 7 Professional Service Pack 1 (X64) Idioma: Español (España, internacional)
Internet Explorer Versión 11 (Navegador predeterminado: IE)
Modo de Inicio: Normal
Tutorial para Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Procesos (Lista blanca) =================

(Si una entrada es incluida en el fixlist, el proceso será cerrado. El archivo no será movido.)

() [Archivo no firmado] C:\ProgramData\ErrorResponder\errorResponder.exe
(Adobe Inc. -> Adobe Systems Inc.) C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\acrotray.exe
(Adobe Inc. -> Adobe Systems) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
(Adobe Inc. -> Adobe Systems, Incorporated) C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGMService.exe
(Adobe Inc. -> Adobe Systems, Incorporated) C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
(Adobe Systems Incorporated -> Adobe Inc.) C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe
(Atheros Communications, Inc.) [Archivo no firmado] C:\Program Files (x86)\Jumpstart\jswpbapi.exe
(Atheros Communications, Inc.) [Archivo no firmado] C:\Program Files (x86)\Jumpstart\jswtrayutil.exe
(Autodesk, Inc. -> Autodesk Inc.) C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AdAppMgrSvc.exe
(Autodesk, Inc. -> Autodesk) C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AcWebBrowser\AcWebBrowser.exe <2>
(Autodesk, Inc. -> Autodesk, Inc.) C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe
(Autodesk, Inc. -> Autodesk, Inc.) C:\Program Files\Autodesk\Personal Accelerator for Revit\RevitAccelerator.exe
(Flexera Software LLC -> Flexera Software LLC) C:\Program Files\Common Files\Macrovision Shared\FlexNet Publisher\FNPLicensingService64.exe
(Google LLC -> Google LLC) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe <20>
(Google LLC -> Google LLC) C:\Program Files (x86)\Google\Update\1.3.35.452\GoogleCrashHandler.exe
(Google LLC -> Google LLC) C:\Program Files (x86)\Google\Update\1.3.35.452\GoogleCrashHandler64.exe
(Google LLC -> Google LLC) C:\Program Files (x86)\Google\Update\GoogleUpdate.exe <2>
(Google LLC -> Google LLC) C:\Program Files (x86)\Google\Update\Install\{D5970DA4-42D7-42E1-981B-9E40DE49E766}\81.0.4044.138_81.0.4044.122_chrome_updater.exe
(Google LLC -> Google LLC) C:\Windows\Temp\CR_162CB.tmp\setup.exe <2>
(Google LLC -> Google) C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\SwReporter\81.233.200\software_reporter_tool.exe <4>
(Microsoft Corporation -> Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\OFFICE16\OLicenseHeartbeat.exe
(Microsoft Corporation -> Microsoft Corporation) C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
(Microsoft Corporation) [Archivo no firmado] C:\Windows\explorer.exe
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\wlanext.exe
(Microsoft Windows Hardware Compatibility Publisher -> AMD) C:\Windows\System32\atieclxx.exe
(Microsoft Windows Hardware Compatibility Publisher -> AMD) C:\Windows\System32\atiesrxx.exe
(Piriform Software Ltd -> Piriform Software Ltd) C:\Program Files\CCleaner\CCleaner64.exe
(Ralink Technology Corporation -> Ralink Technology, Corp.) C:\Program Files (x86)\TP-LINK\Common\RaRegistry.exe
(Ralink Technology Corporation -> Ralink Technology, Corp.) C:\Program Files (x86)\TP-LINK\Common\RaRegistry64.exe
(Realtek Semiconductor Corp. -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado] C:\ProgramData\SosVirus\UsbFix\Modules\UsbFixMonitor.exe
(Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado] C:\ProgramData\SosVirus\UsbFix\UsbFix.exe
(TP-LINK TECHNOLOGIES CO., LTD. ) [Archivo no firmado] C:\Program Files (x86)\TP-LINK\Common\TWCU.exe

==================== Registro (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, el elemento del registro será restaurado a su valor predeterminado o será eliminado. El archivo no será movido.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [18391120 2020-01-12] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
HKLM\...\Run: [pac] => C:\Program Files\Autodesk\Personal Accelerator for Revit\RevitAccelerator.exe [339464 2017-01-17] (Autodesk, Inc. -> Autodesk, Inc.)
HKLM\...\Run: [AdobeGCInvoker-1.0] => C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe [3022416 2020-03-04] (Adobe Inc. -> Adobe Systems, Incorporated)
HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [509936 2018-04-11] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
HKLM-x32\...\Run: [jswtrayutil] => C:\Program Files (x86)\Jumpstart\jswtrayutil.exe [528384 2008-09-26] (Atheros Communications, Inc.) [Archivo no firmado]
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2137744 2016-10-08] (Wondershare software CO., LIMITED -> Wondershare)
HKLM-x32\...\Run: [Autodesk Desktop App] => C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe [664872 2020-03-04] (Autodesk, Inc. -> Autodesk, Inc.)
HKLM-x32\...\Run: [kffee] => C:\Windows\kffee.exe [879104 2020-04-11] () [Archivo no firmado]
HKLM-x32\...\Run: [Acrobat Assistant 8.0] => C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Acrotray.exe [5314096 2020-03-05] (Adobe Inc. -> Adobe Systems Inc.)
HKLM-x32\...\Run: [] => [X]
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-21] (Microsoft Corporation) [Archivo no firmado]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Run: [Autodesk Sync] => C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe [1283112 2016-02-02] (Autodesk, Inc -> Autodesk, Inc.)
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [22245560 2020-03-19] (Piriform Software Ltd -> Piriform Software Ltd)
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Policies\Explorer: [] 
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Winlogon: [Shell] explorer.exe, "C:\ProgramData\ErrorResponder\errorResponder.exe" <==== ATENCIÓN
HKU\S-1-5-18\...\Run: [Autodesk Sync] => C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe [1283112 2016-02-02] (Autodesk, Inc -> Autodesk, Inc.)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\81.0.4044.122\Installer\chrmstp.exe [2020-04-23] (Google LLC -> Google LLC)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\TP-LINK Wireless Utility.lnk [2020-01-11]
ShortcutTarget: TP-LINK Wireless Utility.lnk -> C:\Program Files (x86)\TP-LINK\Common\TWCU.exe (TP-LINK TECHNOLOGIES CO., LTD. ) [Archivo no firmado]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Welcome.lnk [2017-11-09]
ShortcutTarget: Welcome.lnk -> C:\Welcome\Welcome.exe (Ericksystem) [Archivo no firmado]
Startup: C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fjbcvttb.lnk.[25C73809].Encrypted [2020-04-24]

==================== Tareas programadas (Lista blanca) ============

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

Task: {2679524A-E13D-448E-94C2-136E94135497} - System32\Tasks\UsbFix Monitor => C:\ProgramData\SosVirus\UsbFix\Modules\UsbFixMonitor.exe [1239160 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {401F9F2F-1635-4670-A702-C83A9BFE5A5D} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [416432 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {5316BD22-12B3-4C94-8977-6D87B49FC8A7} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [156104 2009-09-07] (Google LLC -> Google LLC)
Task: {5367FD5F-6B71-42B9-9F1F-742301217D14} - System32\Tasks\UsbFix Boot Scan => C:\ProgramData\SosVirus\UsbFix\UsbFix.exe [2053240 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {71915A50-9A9A-4D79-BA2B-61E50ACB4DEA} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [18227896 2020-03-19] (Piriform Software Ltd -> Piriform Software Ltd)
Task: {796AEB54-B013-4F82-A827-B08DD1A6BCEE} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [156104 2009-09-07] (Google LLC -> Google LLC)
Task: {8704E40E-AF83-460C-97EA-E5BC5F152F6C} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe [316632 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {95F37A35-66EF-4997-89D2-29E9F4C813F1} - System32\Tasks\{C4B92F7D-FAF0-41C2-9FC2-A30D6EC8310D} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Malwarebytes\Anti-Malware\mbemsg.exe" -d "C:\Program Files\Malwarebytes\Anti-Malware"
Task: {ACAFBEDF-830B-4842-95AD-4658ED546D0D} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [416432 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {B3664C05-63C2-46AA-A35D-B7DEC5550088} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [686384 2020-03-19] (Piriform Software Ltd -> Piriform Software Ltd)
Task: {BAFCC9B5-A602-44C8-8E1F-D2453CFD790E} - System32\Tasks\AdobeGCInvoker-1.0 => C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe [3022416 2020-03-04] (Adobe Inc. -> Adobe Systems, Incorporated)
Task: {C2113854-45F8-4443-8231-85F569F2FC7B} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1242704 2020-02-25] (Adobe Inc. -> Adobe Systems)
Task: {D8150C83-0ACD-4856-83ED-711EE23087A5} - System32\Tasks\Baidu LiveUpdate => C:\Program [Argument = Files (x86)\Baidu WiFiHotspot\liveupdate.exe]
Task: {E00FDD49-7116-4A80-9B33-D42245E8AA83} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2020-01-12] (Adobe Inc. -> Adobe)
Task: {F7B80AFA-0F7B-4FD0-BB24-64589D0FF01D} - System32\Tasks\DB Bigupgrade Task (One Time) => C:\Program Files (x86)\IObit\Driver Booster\7.2.0\dbupgrade7.exe

(Si una entrada es incluida en el fixlist, el archivo de tarea (.job) será movido. El archivo que está siendo ejecutado por la tarea no será movido.)


==================== Internet (Lista blanca) ====================

(Si un elemento es incluido en el fixlist, y éste pertenece al registro, será eliminado o restaurado a su valor predeterminado.)

Hosts: Hay más de una entrada en Hosts. Consulte la sección Hosts de Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{20445F62-CE1B-4F41-BD6F-3107463EA080}: [NameServer] 8.8.8.8,8.8.4.4
Tcpip\..\Interfaces\{20445F62-CE1B-4F41-BD6F-3107463EA080}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{D053E970-D248-4F3B-9D70-D4C5FC018142}: [DhcpNameServer] 192.168.42.129

Internet Explorer:
==================
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = www.windowsminios.org
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=AE190201&iDate=2020-04-12 12:06:27&bName=
BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\Office16\OCHelper.dll [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
BHO: Adobe Acrobat Create PDF Helper -> {AE7CD045-E861-484f-8273-0445EE161910} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\DC\x64\AcroIEFavStub.dll [2020-03-05] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office16\URLREDIR.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
BHO: Microsoft OneDrive for Business Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office\Office16\GROOVEEX.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
BHO: Adobe Acrobat Create PDF from Selection -> {F4971EE7-DAA0-4053-9964-665D8EE6A077} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\DC\x64\AcroIEFavStub.dll [2020-03-05] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
BHO-x32: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files (x86)\Microsoft Office\Office16\OCHelper.dll [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Adobe Acrobat Create PDF Helper -> {AE7CD045-E861-484f-8273-0445EE161910} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\DC\AcroIEFavStub.dll [2020-03-05] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office16\URLREDIR.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Microsoft OneDrive for Business Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files (x86)\Microsoft Office\Office16\GROOVEEX.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
BHO-x32: Adobe Acrobat Create PDF from Selection -> {F4971EE7-DAA0-4053-9964-665D8EE6A077} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\DC\AcroIEFavStub.dll [2020-03-05] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
Toolbar: HKLM - Adobe Acrobat Create PDF Toolbar - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\DC\x64\AcroIEFavStub.dll [2020-03-05] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
Toolbar: HKLM-x32 - Adobe Acrobat Create PDF Toolbar - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\WCIEActiveX\DC\AcroIEFavStub.dll [2020-03-05] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Handler-x32: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Handler-x32: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)

FireFox:
========
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Browser\WCFirefoxExtn\WebExtn\signed_extn\adobe_acrobat-1.0-windows.xpi
FF Extension: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Browser\WCFirefoxExtn\WebExtn\signed_extn\adobe_acrobat-1.0-windows.xpi [2020-03-05]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Browser\WCFirefoxExtn\WebExtn\signed_extn\adobe_acrobat-1.0-windows.xpi
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office16\NPSPWRAP.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office16\NPSPWRAP.DLL [2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin-x32: Adobe Acrobat -> C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [2020-03-05] (Adobe Inc. -> Adobe Systems Inc.)

Chrome: 
=======
CHR DefaultProfile: Default
CHR Profile: C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default [2020-05-17]
CHR Notifications: Default -> hxxps://forospyware.com; hxxps://mail.google.com
CHR Extension: (Presentaciones) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2020-01-11]
CHR Extension: (Documentos) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2020-01-11]
CHR Extension: (Google Drive) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2020-01-11]
CHR Extension: (YouTube) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2020-01-11]
CHR Extension: (Adblock Plus - bloqueador de anuncios gratis) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2020-04-06]
CHR Extension: (Adobe Acrobat) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2020-04-12]
CHR Extension: (Hojas de cálculo) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2020-01-11]
CHR Extension: (Documentos de Google sin conexión) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2020-04-20]
CHR Extension: (Sistema de pagos de Chrome Web Store) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2020-01-11]
CHR Extension: (Gmail) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2020-01-11]
CHR Extension: (Chrome Media Router) - C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2020-04-22]
CHR Profile: C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\Guest Profile [2020-04-26]
CHR Profile: C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\System Profile [2020-04-26]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]

==================== Servicios (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

R2 AdAppMgrSvc; C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AdAppMgrSvc.exe [1046904 2020-03-04] (Autodesk, Inc. -> Autodesk Inc.)
R2 AdobeUpdateService; C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe [818136 2018-09-13] (Adobe Systems Incorporated -> Adobe Inc.)
R2 AGMService; C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGMService.exe [3374160 2020-03-04] (Adobe Inc. -> Adobe Systems, Incorporated)
R2 AGSService; C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe [3103824 2020-03-04] (Adobe Inc. -> Adobe Systems, Incorporated)
R2 AMD External Events Utility; C:\Windows\system32\atiesrxx.exe [238080 2020-01-12] (Microsoft Windows Hardware Compatibility Publisher -> AMD)
R2 jswpbapi; C:\Program Files (x86)\Jumpstart\jswpbapi.exe [265216 2008-09-26] (Atheros Communications, Inc.) [Archivo no firmado]
S3 jswpsapi; C:\Program Files (x86)\Jumpstart\jswpsapi.exe [954368 2008-09-26] (Atheros Communications, Inc.) [Archivo no firmado]
S2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [6933272 2020-04-11] (Malwarebytes Inc -> Malwarebytes)
R2 RalinkRegistryWriter; C:\Program Files (x86)\TP-LINK\Common\RaRegistry.exe [185632 2010-07-30] (Ralink Technology Corporation -> Ralink Technology, Corp.)
R2 RalinkRegistryWriter64; C:\Program Files (x86)\TP-LINK\Common\RaRegistry64.exe [212256 2010-07-30] (Ralink Technology Corporation -> Ralink Technology, Corp.)
R2 Themes; C:\Windows\system32\themeservice.dll [44544 2018-04-18] (Microsoft Corporation) [Archivo no firmado]

===================== Controladores (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

R3 amdkmdag; C:\Windows\System32\DRIVERS\atikmdag.sys [11922944 2020-01-12] (Microsoft Windows Hardware Compatibility Publisher -> Advanced Micro Devices, Inc.)
R3 amdkmdap; C:\Windows\System32\DRIVERS\atikmpag.sys [359936 2020-01-12] (Microsoft Windows Hardware Compatibility Publisher -> Advanced Micro Devices, Inc.)
R3 AtiHDAudioService; C:\Windows\System32\drivers\AtihdW76.sys [104976 2020-01-12] (Microsoft Windows Hardware Compatibility Publisher -> Advanced Micro Devices)
S3 atikmdag; C:\Windows\System32\DRIVERS\atikmdag.sys [11922944 2020-01-12] (Microsoft Windows Hardware Compatibility Publisher -> Advanced Micro Devices, Inc.)
R1 HWiNFO32; C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [27552 2020-01-11] (Martin Malik - REALiX -> REALiX(tm))
R1 JSWPSLWF; C:\Windows\System32\DRIVERS\jswpslwfx.sys [26624 2008-05-15] (Microsoft Windows Hardware Compatibility Publisher -> Atheros Communications, Inc.)
R1 ndisrd; C:\Windows\System32\DRIVERS\ndisrd.sys [43088 2014-08-14] (Mainline Net Holdings Limited -> NT Kernel Resources)
R3 netr28ux; C:\Windows\System32\DRIVERS\netr28ux.sys [2238112 2020-01-12] (MEDIATEK INC. -> MediaTek Inc.)
S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]

==================== NetSvcs (Lista blanca) ===================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)


==================== Un mes (creado) ===================

(Si una entrada es incluida en el fixlist, el archivo/carpeta será eliminado/a.)

2020-05-17 18:55 - 2020-05-17 18:57 - 000022824 _____ C:\Users\DATA-Link\Downloads\FRST.txt
2020-05-17 18:54 - 2020-05-17 18:56 - 000000000 ____D C:\FRST
2020-05-17 18:53 - 2020-05-17 18:54 - 002286080 _____ (Farbar) C:\Users\DATA-Link\Downloads\FRST64.exe
2020-05-17 18:48 - 2020-05-17 18:48 - 000005054 _____ C:\Users\DATA-Link\Desktop\UsbFix_Report.txt
2020-05-17 18:46 - 2020-05-17 18:46 - 000001777 _____ C:\Users\Public\Desktop\UsbFix Anti-Malware.lnk
2020-05-17 18:46 - 2020-05-17 18:46 - 000001777 _____ C:\ProgramData\Desktop\UsbFix Anti-Malware.lnk
2020-04-27 17:54 - 2020-04-27 17:54 - 000012987 _____ C:\Users\DATA-Link\Documents\Drawing1_recover.dwg
2020-04-27 17:54 - 2020-04-27 17:54 - 000000130 _____ C:\Users\DATA-Link\Documents\acad.err
2020-04-26 18:24 - 2020-04-26 18:24 - 000000000 _____ C:\Users\DATA-Link\attrib
2020-04-26 17:13 - 2020-04-26 17:13 - 000003216 _____ C:\Windows\system32\Tasks\UsbFix Monitor
2020-04-26 17:13 - 2020-04-26 17:13 - 000003214 _____ C:\Windows\system32\Tasks\UsbFix Boot Scan
2020-04-26 16:59 - 2020-04-26 17:00 - 004773088 _____ (SOSVirus) C:\Users\DATA-Link\Downloads\UsbFix_2019_11.022.exe
2020-04-26 16:39 - 2020-04-26 16:39 - 000000000 ____D C:\ProgramData\SosVirus
2020-04-26 16:36 - 2020-04-26 16:39 - 004870480 _____ (SOSVirus) C:\Users\DATA-Link\Downloads\UsbFix_2019.exe
2020-04-26 16:28 - 2020-05-15 22:58 - 000004128 _____ C:\Windows\system32\Tasks\CCleaner Update
2020-04-26 16:28 - 2020-04-26 16:28 - 000000828 _____ C:\Users\Public\Desktop\CCleaner.lnk
2020-04-26 16:28 - 2020-04-26 16:28 - 000000828 _____ C:\ProgramData\Desktop\CCleaner.lnk
2020-04-24 15:55 - 2020-04-24 15:55 - 000000000 ____D C:\Windows\pss
2020-04-24 15:41 - 2020-04-25 21:08 - 000175368 _____ C:\Users\DATA-Link\AppData\Local\GDIPFONTCACHEV1.DAT
2020-04-24 12:10 - 2020-04-24 12:10 - 000000000 ____D C:\Users\DATA-Link\AppData\Local\WSHelper
2020-04-24 12:09 - 2020-04-24 15:48 - 000065124 ___SH C:\Users\DATA-Link\ntuser.ini
2020-04-24 10:42 - 2020-04-24 10:42 - 000000573 _____ C:\Users\DATA-Link\Desktop\readme-warning.txt
2020-04-24 10:24 - 2020-05-17 18:57 - 000000000 ____D C:\ProgramData\ErrorResponder
2020-04-24 08:36 - 2020-04-24 08:36 - 000586384 _____ C:\Windows\system32\FNTCACHE.DAT
2020-04-23 22:52 - 2020-04-24 11:04 - 000006260 _____ C:\Users\DATA-Link\Desktop\UsbFix_Report.txt.[25C73809].Encrypted
2020-04-23 22:49 - 2020-04-24 11:03 - 000175604 _____ C:\Users\DATA-Link\AppData\Local\GDIPFONTCACHEV1.DAT.[25C73809].Encrypted
2020-04-23 22:43 - 2020-04-24 11:04 - 000002132 _____ C:\Users\DATA-Link\Desktop\UsbFix Anti-Malware.lnk.[25C73809].Encrypted
2020-04-23 22:40 - 2020-04-24 11:03 - 000069364 _____ C:\Users\DATA-Link\Desktop\airhashing.png.[25C73809].Encrypted
2020-04-23 16:46 - 2020-04-24 11:04 - 000577172 _____ C:\Users\DATA-Link\Desktop\Losa de Cimentacion.jpg.[25C73809].Encrypted
2020-04-23 16:42 - 2020-04-24 11:04 - 000050516 _____ C:\Users\DATA-Link\Desktop\REMODELACIÓN-DE-NEGOCIOS-EN-BOGOTÁ-PANADERÍA.jpg.[25C73809].Encrypted
2020-04-23 16:36 - 2020-04-24 11:04 - 000026996 _____ C:\Users\DATA-Link\Desktop\remodelacion-de-local-comercial_62285.jpg.[25C73809].Encrypted
2020-04-23 13:50 - 2020-04-24 11:04 - 000068692 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-Oficio RCI.pdf.[25C73809].Encrypted
2020-04-23 13:42 - 2020-04-24 11:04 - 000068612 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-Oficio Rc.pdf.[25C73809].Encrypted
2020-04-22 11:15 - 2020-04-24 11:04 - 000040068 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-Oficio.tif.[25C73809].Encrypted
2020-04-22 10:55 - 2020-04-24 11:04 - 003336228 _____ C:\Users\DATA-Link\Desktop\Remodel kitchen DC.tif.[25C73809].Encrypted
2020-04-22 10:47 - 2020-04-24 11:04 - 000255268 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-Oficio.jpg.[25C73809].Encrypted
2020-04-22 10:45 - 2020-04-24 11:04 - 000308708 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-elevated with face DC.jpg.[25C73809].Encrypted
2020-04-22 10:34 - 2020-04-24 11:04 - 000062500 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-elevated with face DC.tif.[25C73809].Encrypted
2020-04-22 10:33 - 2020-04-24 11:04 - 000068404 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-Oficio.pdf.[25C73809].Encrypted
2020-04-20 22:47 - 2020-04-24 11:04 - 012824100 _____ C:\Users\DATA-Link\Downloads\y2mate.com - 1. Pasos Básicos de Salsa _ Aprende a bailar salsa con Alfonso y Mónica _ Clases de salsa_IbBBYxbtz-w_144p.mp4.[25C73809].Encrypted
2020-04-20 16:48 - 2020-04-24 11:04 - 000144836 _____ C:\Users\DATA-Link\Downloads\Comprobante.pdf.[25C73809].Encrypted
2020-04-20 14:53 - 2020-04-24 11:03 - 000079108 _____ C:\Users\DATA-Link\Desktop\IMG-20200420-WA0002.jpg.[25C73809].Encrypted
2020-04-20 14:53 - 2020-04-24 11:03 - 000069812 _____ C:\Users\DATA-Link\Desktop\IMG-20200420-WA0001.jpg.[25C73809].Encrypted
2020-04-20 00:53 - 2020-04-24 11:04 - 725061140 _____ C:\Users\DATA-Link\Downloads\La Autopsia de Jane Doe - DVDrip - PelisySeriesPorMega.rar.[25C73809].Encrypted
2020-04-17 19:00 - 2020-04-24 11:04 - 000074932 _____ C:\Users\DATA-Link\Documents\Remodel kitchen-elevated with face DC.pdf.[25C73809].Encrypted
2020-04-17 03:15 - 2020-04-24 11:04 - 308231220 _____ C:\Users\DATA-Link\Downloads\Juego_de_la_Muerte_-_Bruce_Lee_-_Artes_Marciales_Audio_Latino.mp4.[25C73809].Encrypted

==================== Un mes (modificado) ==================

(Si una entrada es incluida en el fixlist, el archivo/carpeta será eliminado/a.)

2020-05-17 18:51 - 2020-03-05 19:42 - 000000000 ___HD C:\Users\Public\Documents\AdobeGCData
2020-05-17 18:51 - 2020-03-05 19:42 - 000000000 ___HD C:\ProgramData\Documents\AdobeGCData
2020-05-17 18:51 - 2009-07-14 00:45 - 000031280 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2020-05-17 18:51 - 2009-07-14 00:45 - 000031280 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2020-05-17 18:44 - 2009-07-14 01:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2020-05-01 03:35 - 2009-07-13 23:20 - 000000000 ____D C:\Windows\inf
2020-04-27 17:50 - 2020-04-12 18:27 - 000000000 ____D C:\Users\DATA-Link\AppData\Local\Adobe
2020-04-26 18:24 - 2009-09-07 00:53 - 000000000 ____D C:\Users\DATA-Link
2020-04-26 16:42 - 2010-11-21 03:09 - 000746992 _____ C:\Windows\system32\perfh00A.dat
2020-04-26 16:42 - 2010-11-21 03:09 - 000158464 _____ C:\Windows\system32\perfc00A.dat
2020-04-26 16:42 - 2009-07-14 01:13 - 001675926 _____ C:\Windows\system32\PerfStringBackup.INI
2020-04-26 16:28 - 2020-01-12 10:53 - 000000000 ____D C:\Program Files\CCleaner
2020-04-25 16:34 - 2009-07-14 01:08 - 000032514 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2020-04-24 22:32 - 2020-01-11 05:57 - 000000000 ____D C:\ProgramData\Autodesk
2020-04-24 22:32 - 2018-11-11 15:55 - 000000000 ___HD C:\Welcome
2020-04-24 20:42 - 2009-09-07 00:58 - 000000000 ____D C:\Users\DATA-Link\AppData\Roaming\WinRAR
2020-04-24 11:06 - 2020-03-17 13:51 - 000000000 ____D C:\Users\Public\Documents\CIV
2020-04-24 11:06 - 2020-03-17 13:51 - 000000000 ____D C:\ProgramData\Documents\CIV
2020-04-24 11:06 - 2010-11-21 03:20 - 000000000 ___RD C:\Users\Public\Recorded TV
2020-04-24 11:06 - 2009-07-14 00:54 - 000000500 ___SH C:\Users\Public\Documents\desktop.ini.[25C73809].Encrypted
2020-04-24 11:06 - 2009-07-14 00:54 - 000000500 ___SH C:\ProgramData\Documents\desktop.ini.[25C73809].Encrypted
2020-04-24 11:06 - 2009-07-14 00:54 - 000000388 ___SH C:\Users\Public\Downloads\desktop.ini.[25C73809].Encrypted
2020-04-24 11:06 - 2009-07-13 23:20 - 000000000 __RHD C:\Users\Public\Libraries
2020-04-24 11:05 - 2009-07-14 00:54 - 000000388 ___SH C:\Users\Public\desktop.ini.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-16 22:34 - 000357380 _____ C:\Users\DATA-Link\Desktop\TEATRO MODERNO.pdf.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-16 21:36 - 118395956 _____ C:\Users\DATA-Link\Downloads\MERENGUES_CLASICOSEXITOS_DE_LOS_80_Y_LOS_90VARIOS_ARTISTAS.mp3.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-16 21:24 - 075648708 _____ C:\Users\DATA-Link\Downloads\CLASICOS_DEL_MERENGUE_80_Y_90.mp3.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-16 20:25 - 000024660 _____ C:\Users\DATA-Link\Desktop\TEATRO MODERNO.docx.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-16 15:51 - 001592084 _____ C:\Users\DATA-Link\Downloads\ilovepdf_pages-to-jpg (2).zip.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-14 11:44 - 000068964 _____ C:\Users\DATA-Link\Documents\Torrefactadora la Araguata.bak.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-12 19:16 - 375728292 _____ C:\Users\DATA-Link\Downloads\Activador.rar.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-11 19:00 - 000000000 ____D C:\Users\DATA-Link\Downloads\Video
2020-04-24 11:04 - 2020-04-11 19:00 - 000000000 ____D C:\Users\DATA-Link\Downloads\Compressed
2020-04-24 11:04 - 2020-04-11 18:54 - 011729956 _____ C:\Users\DATA-Link\Downloads\IDM6.37.7-XYZ.rar.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-08 19:12 - 000052948 _____ C:\Users\DATA-Link\Downloads\wmpksetup.msi.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-08 16:45 - 000668644 _____ C:\Users\DATA-Link\Downloads\ilovepdf_pages-to-jpg (1).zip.[25C73809].Encrypted
2020-04-24 11:04 - 2020-04-08 16:44 - 000668628 _____ C:\Users\DATA-Link\Downloads\ilovepdf_pages-to-jpg.zip.[25C73809].Encrypted
2020-04-24 11:04 - 2020-03-23 14:56 - 000003876 _____ C:\Users\DATA-Link\Documents\plot.log.[25C73809].Encrypted
2020-04-24 11:04 - 2020-03-15 15:27 - 000000000 ____D C:\Users\DATA-Link\Documents\Book fisica & quimica
2020-04-24 11:04 - 2020-03-06 07:55 - 000000000 ____D C:\Users\DATA-Link\Documents\Eduardo Cedeño
2020-04-24 11:04 - 2020-03-06 03:30 - 000000000 ____D C:\Users\DATA-Link\Documents\HERRAMIENTAS
2020-04-24 11:04 - 2020-03-05 19:45 - 000000000 ____D C:\Users\DATA-Link\Documents\Adobe
2020-04-24 11:04 - 2020-01-14 12:25 - 000000000 ____D C:\Users\DATA-Link\Documents\kellys
2020-04-24 11:04 - 2020-01-12 11:42 - 000000000 ____D C:\Users\DATA-Link\Documents\ArcGIS
2020-04-24 11:04 - 2009-09-07 00:54 - 000000628 ___SH C:\Users\DATA-Link\Documents\desktop.ini.[25C73809].Encrypted
2020-04-24 11:04 - 2009-09-07 00:54 - 000000500 ___SH C:\Users\DATA-Link\Downloads\desktop.ini.[25C73809].Encrypted
2020-04-24 11:04 - 2009-09-07 00:53 - 000000228 ___SH C:\Users\DATA-Link\ntuser.ini.[25C73809].Encrypted
2020-04-24 11:03 - 2020-04-16 21:09 - 000012404 _____ C:\Users\DATA-Link\Desktop\descarga.png.[25C73809].Encrypted
2020-04-24 11:03 - 2020-04-16 21:09 - 000007316 _____ C:\Users\DATA-Link\Desktop\images.jpg.[25C73809].Encrypted
2020-04-24 11:03 - 2020-04-11 19:20 - 000070084 _____ C:\Users\DATA-Link\AppData\Local\Config.xml.[25C73809].Encrypted
2020-04-24 11:03 - 2020-04-08 19:13 - 000000000 ____D C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WMPKeys
2020-04-24 11:03 - 2020-03-19 12:47 - 000000000 ____D C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk
2020-04-24 11:03 - 2020-03-13 15:12 - 000001636 _____ C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk.[25C73809].Encrypted
2020-04-24 11:03 - 2020-03-05 19:34 - 000000628 _____ C:\Users\DATA-Link\AppData\Local\oobelibMkey.log.[25C73809].Encrypted
2020-04-24 11:03 - 2020-03-05 18:39 - 000000000 ____D C:\Users\DATA-Link\AppData\Local\MSfree Inc
2020-04-24 11:03 - 2020-01-11 18:07 - 000000000 ____D C:\Users\DATA-Link\AppData\LocalLow\IObit
2020-04-24 11:03 - 2020-01-11 05:57 - 000000000 ____D C:\Users\DATA-Link\AppData\Roaming\Autodesk
2020-04-24 11:03 - 2009-09-07 00:58 - 000000000 ____D C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
2020-04-24 11:03 - 2009-09-07 00:56 - 004533588 ____H C:\Users\DATA-Link\AppData\Local\IconCache.db.[25C73809].Encrypted
2020-04-24 11:03 - 2009-09-07 00:54 - 000000692 ___SH C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\desktop.ini.[25C73809].Encrypted
2020-04-24 11:03 - 2009-09-07 00:54 - 000000500 ___SH C:\Users\DATA-Link\Desktop\desktop.ini.[25C73809].Encrypted
2020-04-24 11:03 - 2009-09-07 00:54 - 000000388 ___SH C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\desktop.ini.[25C73809].Encrypted
2020-04-24 11:02 - 2020-01-11 18:07 - 000000000 ____D C:\ProgramData\ProductData
2020-04-23 22:18 - 2009-09-07 02:49 - 000002228 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
2020-04-18 20:40 - 2020-01-15 23:45 - 000000000 ____D C:\Users\DATA-Link\AppData\Roaming\Wondershare

==================== Archivos en la raíz de algunos directorios ========

2020-04-11 19:20 - 2020-04-11 19:19 - 004695552 _____ () C:\Users\DATA-Link\AppData\Local\Bluecore.exe
2020-04-11 19:20 - 2020-04-24 11:03 - 000070084 _____ () C:\Users\DATA-Link\AppData\Local\Config.xml.[25C73809].Encrypted
2020-04-24 11:28 - 2020-04-24 15:48 - 000080100 _____ () C:\Users\DATA-Link\AppData\Local\oobelibMkey.log
2020-03-05 19:34 - 2020-04-24 11:03 - 000000628 _____ () C:\Users\DATA-Link\AppData\Local\oobelibMkey.log.[25C73809].Encrypted

==================== SigCheck ============================

(No existe una corrección automática para los archivos que no pasan la verificación.)

C:\Windows\explorer.exe
[2010-11-20 23:24] - [2010-11-21 06:24] - 002872320 _____ (Microsoft Corporation) 602429CC24E3FCF6B8E08C2A787AE3BE


LastRegBack: 2020-05-07 22:04
==================== Final de FRST.txt ========================
````

Reporte Addition

Resultados del Análisis Adicional de Farbar Recovery Scan Tool (x64) Versión: 13-05-2020 01
Ejecutado por DATA-Link (17-05-2020 18:58:16)
Ejecutado desde C:\Users\DATA-Link\Downloads
Windows 7 Professional Service Pack 1 (X64) (2009-09-07 04:53:48)
Modo de Inicio: Normal
==========================================================


==================== Cuentas: =============================

Administrador (S-1-5-21-499082674-3892550817-2984342719-500 - Administrator - Disabled)
DATA-Link (S-1-5-21-499082674-3892550817-2984342719-1000 - Administrator - Enabled) => C:\Users\DATA-Link
HomeGroupUser$ (S-1-5-21-499082674-3892550817-2984342719-1002 - Limited - Enabled)
Invitado (S-1-5-21-499082674-3892550817-2984342719-501 - Limited - Disabled)

==================== Centro de Seguridad ========================

(Si una entrada es incluida en el fixlist, será eliminada.)

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Programas instalados ======================

(Solo los programas de adware con indicador "Oculto", pueden ser añadidos al fixlist para hacerlos visibles. Los programas adware deben ser desinstalados manualmente.)

A360 Desktop (HKLM\...\{7758802D-9486-4883-9927-CCAC366A3BA4}) (Version: 7.2.3.1800 - Autodesk)
ACA & MEP 2017 Object Enabler (HKLM\...\{28B89EEF-0004-0000-5102-CF3F3A09B77D}) (Version: 7.9.45.0 - Autodesk) Hidden
ACAD Private (HKLM\...\{28B89EEF-0001-0000-3102-CF3F3A09B77D}) (Version: 21.0.52.0 - Autodesk) Hidden
Adobe Acrobat DC (HKLM-x32\...\{AC76BA86-1033-FFFF-7760-0C0F074E4100}) (Version: 20.006.20042 - Adobe Systems Incorporated)
Adobe Flash Player 32 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 32.0.0.303 - Adobe)
Adobe Illustrator 2019 (HKLM-x32\...\ILST_23_0_5) (Version: 23.0.5 - Adobe Systems Incorporated)
Aplicación de escritorio de Autodesk (HKLM-x32\...\Autodesk Desktop App) (Version: 8.0.0.46 - Autodesk)
Aplicaciones destacadas de Autodesk 2016-2017 (HKLM-x32\...\{27C15055-713B-4D0E-881F-19598A2DFD59}) (Version: 2.2.0 - Autodesk)
AutoCAD 2017 - English (HKLM\...\{28B89EEF-0001-0409-2102-CF3F3A09B77D}) (Version: 21.0.52.0 - Autodesk) Hidden
AutoCAD 2017 - Español (Spanish) (HKLM\...\{28B89EEF-0001-040A-2102-CF3F3A09B77D}) (Version: 21.0.52.0 - Autodesk) Hidden
AutoCAD 2017  Language Pack - Español (Spanish) (HKLM\...\{28B89EEF-0001-040A-1102-CF3F3A09B77D}) (Version: 21.0.52.0 - Autodesk) Hidden
AutoCAD 2017 (HKLM\...\{28B89EEF-0001-0000-0102-CF3F3A09B77D}) (Version: 21.0.104.0 - Autodesk) Hidden
AutoCAD 2017 Help - Español (Spanish) (HKLM\...\{28B89EEF-0034-040A-0100-CF3F3A09B77D}) (Version: 21.0.52.0 - Autodesk) Hidden
AutoCAD 2017 Language Pack - English (HKLM\...\{28B89EEF-0001-0409-1102-CF3F3A09B77D}) (Version: 21.0.52.0 - Autodesk) Hidden
Autodesk A360 Collaboration for Revit 2016 (HKLM\...\{AA384BE4-1601-0010-0000-97E7D7D00B17}) (Version: 16.0.504.0 - Autodesk) Hidden
Autodesk A360 Collaboration for Revit 2016 (HKLM\...\Autodesk A360 Collaboration for Revit 2016) (Version: 16.0.504.0 - Autodesk)
Autodesk Advanced Material Library Base Resolution Image Library 2019 (HKLM-x32\...\{105181A1-013C-4EE7-A368-999FD7ED950A}) (Version: 17.11.3.0 - Autodesk)
Autodesk Advanced Material Library Image Library 2017 (HKLM-x32\...\{8ED2ED41-4455-449D-993C-751C039089B9}) (Version: 15.11.3.0 - Autodesk)
Autodesk Advanced Material Library Low Resolution Image Library 2019 (HKLM-x32\...\{ACC0DD09-7E20-4792-87D5-BDBE40206584}) (Version: 17.11.3.0 - Autodesk)
Autodesk Advanced Material Library Medium Resolution Image Library 2019 (HKLM-x32\...\{078698AF-8BB1-4631-86D0-D91FEE147256}) (Version: 17.11.3.0 - Autodesk)
Autodesk App Manager 2016-2017 (HKLM-x32\...\{C0954809-F5DC-426C-847E-8409DE14E4C0}) (Version: 2.2.0 - Autodesk)
Autodesk AutoCAD 2017 - Español (Spanish) (HKLM\...\AutoCAD 2017 - Español (Spanish)) (Version: 21.0.52.0 - Autodesk)
Autodesk AutoCAD 2017 Help - Español (Spanish) (HKLM\...\AutoCAD 2017 Help - Español (Spanish)) (Version: 21.0.52.0 - Autodesk)
Autodesk AutoCAD 2017 Language Pack - English (HKLM\...\AutoCAD 2017 - English) (Version: 21.0.52.0 - Autodesk)
Autodesk AutoCAD 2017 SP1 Combo Security Hotfix (HKLM-x32\...\{f4f9ba0b-0001-0000-0102-f66cecb10408}) (Version: 21.0.104.8 - Autodesk)
Autodesk AutoCAD Performance Feedback Tool 1.2.5 (HKLM-x32\...\{8600F844-9AA5-412E-B6F2-F9C6CBCFD268}) (Version: 1.2.5.0 - Autodesk)
Autodesk BIM 360 Glue AutoCAD 2017 Add-in 64 bit (HKLM\...\{276A67E0-71EB-4827-B5F7-2ACF02BC1A5B}) (Version: 4.37.6853 - Autodesk)
Autodesk Certificate Package  (x64) - 7.1.4 (HKLM\...\{1C891560-9ECD-4234-8BBD-752AFE0682D7}) (Version: 7.1.4.0 - Autodesk)
Autodesk Collaboration for Revit 2019 (HKLM\...\{AA384BE4-1901-0010-0000-97E7D7D00B17}) (Version: 19.0.0.405 - Autodesk) Hidden
Autodesk Collaboration for Revit 2019 (HKLM\...\Autodesk Collaboration for Revit 2019) (Version: 19.0.0.405 - Autodesk)
Autodesk License Service (x64) - 3.1 (HKLM\...\{EB6FE58F-8576-4272-BB9C-6B47D9EDFA4D}) (Version: 3.1.26.0 - Autodesk)
Autodesk License Service (x64) - 7.1.4 (HKLM\...\{F53D6D10-7A75-4A39-8C53-A3D855C7C50A}) (Version: 7.1.4.0 - Autodesk)
Autodesk Material Library 2017 (HKLM-x32\...\{8FB9F735-D64C-4991-8D91-4CDDAB1ABDEE}) (Version: 15.11.3.0 - Autodesk)
Autodesk Material Library 2019 (HKLM-x32\...\{8F69EE2C-DC34-4746-9B47-7511147BD4B0}) (Version: 17.11.3.0 - Autodesk)
Autodesk Material Library Base Resolution Image Library 2017 (HKLM-x32\...\{3FBFBC43-9882-43FA-B979-2D53896747B3}) (Version: 15.11.3.0 - Autodesk)
Autodesk Material Library Base Resolution Image Library 2019 (HKLM-x32\...\{3AAA4C1B-51DA-487D-81A3-4234DBB9A8F9}) (Version: 17.11.3.0 - Autodesk)
Autodesk Material Library Low Resolution Image Library 2019 (HKLM-x32\...\{77F779B8-3262-4014-97E9-36D6933A1904}) (Version: 17.11.3.0 - Autodesk)
Autodesk Material Library Medium Resolution Image Library 2019 (HKLM-x32\...\{2E819775-E94C-42CC-9C5D-ABB2ADABC7C2}) (Version: 17.11.3.0 - Autodesk)
Autodesk ReCap 360 (HKLM\...\{5F0F7049-0000-1033-0102-73A6DA3D7FA6}) (Version: 3.0.0.52 - Autodesk) Hidden
Autodesk ReCap 360 (HKLM\...\Autodesk ReCap 360) (Version: 3.0.0.52 - Autodesk)
Autodesk Revit 2019 (HKLM\...\Autodesk Revit 2019) (Version: 19.0.0.405 - Autodesk)
Autodesk Revit 2019 (HKLM\...\Revit 2019) (Version:  - )
Autodesk Revit 2019 MEP Fabrication Configuration - Imperial (HKLM\...\{7B1D0D58-E2A9-400B-9663-86FD56CB44B9}) (Version: 2.2 - Autodesk)
Autodesk Revit 2019 MEP Fabrication Configuration - Metric (HKLM\...\{8E6AEB11-ECE7-475A-BB7D-1D6719B2F8BA}) (Version: 2.2 - Autodesk)
Autodesk Revit Content Libraries 2016 - Español (Spanish) (HKLM\...\Autodesk Revit Content Libraries 2016 - Español (Spanish)) (Version: 16.0.428.0 - Autodesk)
Autodesk Revit Content Libraries 2019 (HKLM\...\Autodesk Revit Content Libraries 2019) (Version: 19.0.0.405 - Autodesk)
Autodesk Revit Content Libraries 2019 (HKLM\...\Revit Content Libraries 2019) (Version:  - )
Autodesk Revit Model Review 2019 (HKLM\...\{715812E8-1901-0010-0000-BBB894911B46}) (Version: 19.0.0.405 - Autodesk) Hidden
Autodesk Revit Model Review 2019 (HKLM\...\Autodesk Revit Model Review 2019) (Version: 19.0.0.405 - Autodesk)
Autodesk Workflows 2019 (HKLM\...\{F9857F69-9B57-4DF2-8930-7A4D5F8D5635}) (Version: 17.11.1.0 - Autodesk, Inc.)
Baidu WiFi Hotspot (HKLM-x32\...\Baidu WiFi Hotspot) (Version: 5.1.4.124910 - Baidu, Inc.)
Batch Print for Autodesk Revit 2019 (HKLM\...\{82AF00E4-1901-0010-0000-FCE0F87063F9}) (Version: 19.0.0.405 - Autodesk) Hidden
Batch Print for Autodesk Revit 2019 (HKLM\...\Batch Print for Autodesk Revit 2019) (Version: 19.0.0.405 - Autodesk)
CCleaner (HKLM\...\CCleaner) (Version: 5.65 - Piriform)
Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.)
Cisco LEAP Module (HKLM-x32\...\{51C7AD07-C3F6-4635-8E8A-231306D810FE}) (Version: 1.0.19 - Cisco Systems, Inc.)
Cisco PEAP Module (HKLM-x32\...\{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}) (Version: 1.1.6 - Cisco Systems, Inc.)
Civil Structures for Autodesk Revit 2016 (HKLM\...\{9A2BC096-5AC1-4079-AE6E-A16B81B73996}) (Version: 1.0.0.0 - Autodesk)
Collaboration for Revit 2016.0.3 Security Fix (HKLM-x32\...\{a2ad1a94-f12f-4a3e-bde3-85fcd2d0c09a}) (Version: 16.0.3.1 - Autodesk) Hidden
CPUID CPU-Z 1.91 (HKLM\...\CPUID CPU-Z_is1) (Version: 1.91 - CPUID, Inc.)
Dynamo Core 1.3.3 (HKLM\...\{F1AA809A-3D47-4FB9-8854-93E070C66A20}) (Version: 1.3.3.4111 - Dynamo)
Dynamo Revit 1.3.3 (HKLM\...\{DE076F37-60CA-4BDC-A5A3-B300DEA4358C}) (Version: 1.3.3.4111 - Dynamo)
Eines de correcció del Microsoft Office 2016: català (HKLM\...\{90160000-001F-0403-1000-0000000FF1CE}) (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
eTransmit for Autodesk Revit 2019 (HKLM\...\{4477F08B-1901-0010-0000-9A09D834DFF5}) (Version: 19.0.0.405 - Autodesk) Hidden
eTransmit for Autodesk Revit 2019 (HKLM\...\eTransmit for Autodesk Revit 2019) (Version: 19.0.0.405 - Autodesk)
FARO LS 1.1.501.0 (64bit) (HKLM-x32\...\{8A470330-70B2-49AD-86AF-79885EF9898A}) (Version: 5.1.0.30630 - FARO Scanner Production)
FARO LS 1.1.505.0 (64bit) (HKLM-x32\...\{8834451B-6209-4E02-9EF4-4EF9E3C1F70F}) (Version: 5.5.0.44203 - FARO Scanner Production)
Ferramentas de verificación de Microsoft Office 2016 - Galego (HKLM\...\{90160000-001F-0456-1000-0000000FF1CE}) (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
FormIt Converter For Revit 2019 (HKLM\...\{5E47699C-B0DE-443F-92AE-1D1334499D5E}) (Version: 1.9.6.0 - Autodesk)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 81.0.4044.122 - Google LLC)
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.35.451 - Google LLC) Hidden
Herramientas de corrección de Microsoft Office 2016: español (HKLM\...\{90160000-001F-0C0A-1000-0000000FF1CE}) (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
Importación de SketchUp 2016-2017 (HKLM-x32\...\{063925DB-9D8C-48E2-8F04-1B7038B6C783}) (Version: 2.2.0 - Autodesk)
IronPython 2.7.3 (HKLM-x32\...\{1EBADAEA-1A0F-40E3-848C-0DD8C5E5A10D}) (Version: 2.7.31000.0 - IronPython Team)
Jumpstart Installation Program (HKLM-x32\...\{B0BCDCBD-863D-4CAB-BF68-8D1F6B1BDC13}) (Version:  - Atheros)
KeyTweak - Keyboard Remapper (remove only) (HKLM-x32\...\KeyTweak) (Version:  - )
Malwarebytes version 4.1.0.56 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.1.0.56 - Malwarebytes)
Microsoft .NET Framework 4.7 (español) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 3082) (Version: 4.7.02053 - Microsoft Corporation)
Microsoft .NET Framework 4.7 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.7.02053 - Microsoft Corporation)
Microsoft Office Professional Plus 2016 (HKLM\...\Office16.PROPLUS) (Version: 16.0.4266.1001 - Microsoft Corporation)
Microsoft SQL Server 2014 Express LocalDB  (HKLM\...\{52EBC484-44A1-4DC5-824A-0A503735ABD8}) (Version: 12.1.4100.1 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable - x64 8.0.61000 (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable - x86 8.0.61001 (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010 Redistributable - x64 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2010 Redistributable - x86 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{a2199617-3609-410f-a8e8-e8806c73545b}) (Version: 11.0.61030.0 - Корпорация Майкрософт)
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{f0080ca2-80ae-4958-b6eb-e8fa916d744a}) (Version: 11.0.61030.0 - Корпорация Майкрософт)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40664 (HKLM-x32\...\{49e969a1-2990-464d-92b5-25f6f34573c6}) (Version: 12.0.40664.0 - Корпорация Майкрософт)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40664 (HKLM-x32\...\{d2c8df0e-f15d-4426-9e51-f13f329f9cb4}) (Version: 12.0.40664.0 - Корпорация Майкрософт)
Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.21.27702 (HKLM-x32\...\{f4220b74-9edd-4ded-bc8b-0342c1e164d8}) (Version: 14.21.27702.2 - Microsoft Corporation)
Microsoft Visual C++ 2017 Redistributable (x86) - 14.20.27305 (HKLM-x32\...\{d9671869-e224-4016-b780-a08239895ec1}) (Version: 14.20.27305.0 - Microsoft Corporation)
Personal Accelerator for Revit (HKLM\...\{7C317DB0-F399-4024-A289-92CF4B6FB256}) (Version: 16.0.1205.0 - Autodesk) Hidden
Personal Accelerator for Revit (HKLM\...\Personal Accelerator for Revit) (Version: 16.0.1205.0 - Autodesk)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.8581 - Realtek Semiconductor Corp.)
Revisores de Texto do Microsoft Office 2016 – Português (Brasil) (HKLM\...\{90160000-001F-0416-1000-0000000FF1CE}) (Version: 16.0.4266.1001 - Microsoft Corporation) Hidden
Revit 2019 (HKLM\...\{7346B4A0-1900-0510-0000-705C0D862004}) (Version: 19.0.0.405 - Autodesk) Hidden
Revit Content Libraries 2019 (HKLM\...\{941030D0-1900-0410-0000-818BB38A95FC}) (Version: 19.0.0.405 - Autodesk) Hidden
Revit Offline Help 2016 Spanish (HKLM\...\{00E70800-1600-0410-040A-9294E35942B9}) (Version: 16.0.490.0 - Autodesk) Hidden
Revit Offline Help 2016 Spanish (HKLM\...\Revit Offline Help 2016 Spanish) (Version: 16.0.490.0 - Autodesk)
StartHi uninstall (HKLM-x32\...\HStar) (Version:  - ) <==== ATENCIÓN
Structural Analysis Toolkit for Autodesk Revit 2016 (HKLM\...\{00D09A9C-3B1F-49A9-A50F-F8D9ED5EDE8C}) (Version: 2016.0 - Autodesk, Inc.)
TP-LINK TL-WN7200ND Driver (HKLM-x32\...\{9F88C456-C1E7-4D96-81BE-8D9E75C0229E}) (Version: 1.3.1 - TP-LINK)
TP-LINK Wireless Utility (HKLM-x32\...\{5BE5DB79-685E-46FD-A231-CD7467B69DD7}) (Version: 1.5.6.0 - TP-LINK)
UsbFix Anti-Malware Premium (HKLM-x32\...\Usbfix) (Version: 11.0.2.7 - SOSVirus (SOSVirus.Net))
Visor 3.11 Edición Diciembre 2018 (HKLM-x32\...\Visor_3_-_Diciembre_2018) (Version: Edición Diciembre 2018 - Colegio de Ingenieros de Venezuela)
Visual C++ 2008 - x64 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{6DA2B636-698A-3294-BF4A-B5E11B238CDD}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
Visual C++ 2008 - x64 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{8CCEA24C-51AE-3B71-9092-7D0C44DDA2DF}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
Visual C++ 2008 - x64 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{C3A57BB3-9AA6-3F6F-9395-6C062BDD5FC4}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
Visual C++ 2008 - x64 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{F6F09DD8-F39B-3A16-ADB9-C9E6B56903F9}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
Visual C++ 2008 - x86 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{04B34E21-5BEE-3D2B-8D3D-E3E80D253F64}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
Visual C++ 2008 - x86 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{14866AAD-1F23-39AC-A62B-7091ED1ADE64}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
Visual C++ 2008 - x86 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{4B90093A-5D9C-3956-8ABB-95848BE6EFAD}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
Visual C++ 2008 - x86 (KB958357) - v9.0.30729.177 (HKLM-x32\...\{B42E259C-E4D4-37F1-A1B2-EB9C4FC5A04D}.KB958357) (Version: 9.0.30729.177 - Microsoft Corporation)
WinRAR 5.71 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.71.0 - win.rar GmbH)
Wondershare Helper Compact 2.5.2 (HKLM-x32\...\{5363CE84-5F09-48A1-8B6C-6BB590FFEDF2}_is1) (Version: 2.5.2 - Wondershare)
Worksharing Monitor for Autodesk Revit 2019 (HKLM\...\{5063E738-1901-0010-0000-7B7B9AB0B696}) (Version: 19.0.0.405 - Autodesk) Hidden
Worksharing Monitor for Autodesk Revit 2019 (HKLM\...\Worksharing Monitor for Autodesk Revit 2019) (Version: 19.0.0.405 - Autodesk)

==================== Personalizado CLSID (Lista blanca): ==============

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

CustomCLSID: HKU\S-1-5-21-499082674-3892550817-2984342719-1000_Classes\CLSID\{0D327DA6-B4DF-4842-B833-2CFF84F0948F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2017\acad.exe (Autodesk, Inc -> Autodesk, Inc.)
CustomCLSID: HKU\S-1-5-21-499082674-3892550817-2984342719-1000_Classes\CLSID\{720DB9AF-D62C-4ED0-A377-429C22312852}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2017\acad.exe (Autodesk, Inc -> Autodesk, Inc.)
CustomCLSID: HKU\S-1-5-21-499082674-3892550817-2984342719-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2017\en-US\acadficn.dll (Autodesk, Inc -> Autodesk, Inc.)
ShellServiceObjects: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
ShellServiceObjects-x32: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\system32\AcSignIcon.dll [2016-02-07] (Autodesk, Inc -> Autodesk, Inc.)
ContextMenuHandlers1: [AcShellExtension.AcContextMenuHandler] -> {2E7A2C6C-B938-40a4-BA1C-C7EC982DC202} => C:\Program Files\Common Files\Autodesk Shared\AcShellEx\AcShellExtension.dll [2016-02-07] (Autodesk, Inc -> Autodesk)
ContextMenuHandlers1: [Adobe.Acrobat.ContextMenu] -> {A6595CD1-BF77-430A-A452-18696685F7C7} => C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat Elements\ContextMenuShim64.dll [2020-03-05] (Adobe Inc. -> Adobe Systems Inc.)
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-04-11] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers6: [Adobe.Acrobat.ContextMenu] -> {A6595CD1-BF77-430A-A452-18696685F7C7} => C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat Elements\ContextMenuShim64.dll [2020-03-05] (Adobe Inc. -> Adobe Systems Inc.)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-04-11] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2019-04-27] (win.rar GmbH -> Alexander Roshal)

==================== Codecs (Lista blanca) ====================

==================== Accesos directos & WMI ========================

(Las entradas pueden ser listadas para ser restauradas o eliminadas.)

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

==================== Módulos cargados (Lista blanca) =============

2020-03-05 18:11 - 2020-03-05 18:11 - 000010240 _____ () [Archivo no firmado] C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\locale\es_es\acrotray.esp
2020-03-05 18:11 - 2020-03-05 18:11 - 000021504 _____ (Adobe Systems Inc.) [Archivo no firmado] C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\locale\es_es\Acrobat Elements\ContextMenuShim64.esp
2020-01-11 18:18 - 2010-07-30 10:23 - 001069056 _____ (Cisco Systems, Inc.) [Archivo no firmado] C:\Program Files (x86)\TP-LINK\Common\CiscoEapFast.dll
2009-07-13 19:54 - 2018-04-18 16:15 - 000044544 _____ (Microsoft Corporation) [Archivo no firmado] c:\windows\system32\themeservice.dll
2009-07-13 19:55 - 2018-04-18 16:15 - 000332288 _____ (Microsoft Corporation) [Archivo no firmado] C:\Windows\system32\UxTheme.dll
2020-01-15 23:47 - 2017-10-19 10:17 - 000271360 _____ (Wondershare Software) [Archivo no firmado] C:\Windows\System32\WSPDFelementMonitor.dll

==================== Alternate Data Streams (Lista blanca) ========

==================== Modo Seguro (Lista blanca) ==================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El "AlternateShell" será restaurado.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"

==================== Asociación (Lista blanca) =================

(Si una entrada es incluida en el fixlist, el elemento del registro será restaurado a su valor predeterminado o será eliminado.)

HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Classes\.scr: AutoCADScriptFile => C:\Windows\system32\notepad.exe "%1"

==================== Internet Explorer sitios de confianza/restringidos ==========

(Si una entrada es incluida en el fixlist, será eliminada del registro.)

IE trusted site: HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\autodesk.com -> hxxps://raas2.autodesk.com
IE trusted site: HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\windowsminios.org -> hxxps://www.windowsminios.org

==================== Hosts contenido: =========================

(Si es necesario, la directiva Hosts: puede ser incluida en el fixlist para restablecer Hosts.)

2009-07-13 22:34 - 2020-04-12 20:14 - 000001234 _____ C:\Windows\system32\drivers\etc\hosts
127.0.0.1                   platform.wondershare.com
127.0.0.1                   support.wondershare.net
127.0.0.1                   cbs.wondershare.com
127.0.0.1                   www.wondershare.net
127.0.0.1 lmlicenses.wip4.adobe.com
127.0.0.1 lm.licenses.adobe.com
127.0.0.1 na1r.services.adobe.com
127.0.0.1 hlrcv.stage.adobe.com
127.0.0.1 practivate.adobe.com 
127.0.0.1 activate.adobe.com

2020-01-11 18:02 - 2020-04-08 20:28 - 000000452 _____ C:\Windows\system32\drivers\etc\hosts.ics
192.168.173.75 android-8754501c61062c34.mshome.net # 2020 4 4 16 0 28 20 277

==================== Otras Áreas ===========================

(Actualmente no existe una corrección automática para esta sección.)

HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 8.8.8.8 - 8.8.4.4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 1) (EnableLUA: 1)
Firewall de Windows está habilitado.

==================== MSCONFIG/TASK MANAGER elementos deshabilitados ==

==================== Reglas de firewall (Lista blanca) ================

(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)

FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) C:\Windows\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [SPPSVC-In-TCP] => (Allow) C:\Windows\system32\sppsvc.exe (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{FE1A6B7D-8FC3-4AD5-90F3-7F7B8EF85545}] => (Block) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe (Malwarebytes Inc -> Malwarebytes)
FirewallRules: [TCP Query User{77DF6E0C-99BC-42C0-8D31-8BC93FFA3D75}C:\program files (x86)\google\chrome\application\chrome.exe] => (Block) C:\program files (x86)\google\chrome\application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [UDP Query User{76941AE4-113D-45C8-9773-AA9723E6FB86}C:\program files (x86)\google\chrome\application\chrome.exe] => (Block) C:\program files (x86)\google\chrome\application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [TCP Query User{B6DC5F59-7FC1-40BA-9BC6-CE0E4DF30665}C:\program files (x86)\google\chrome\application\chrome.exe] => (Allow) C:\program files (x86)\google\chrome\application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [UDP Query User{343D3623-C2C1-4E07-8567-94EDAA5215D7}C:\program files (x86)\google\chrome\application\chrome.exe] => (Allow) C:\program files (x86)\google\chrome\application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [{CFC21D10-22C5-4E65-960C-5E11066AD723}] => (Allow) C:\Program Files (x86)\Baidu WiFiHotspot\WifiHotspot.exe (Baidu Online Network Technology (Beijing) Co.,Ltd. -> Baidu, Inc.)
FirewallRules: [{5AFE4A2B-940F-463B-87AB-30515D9FE2A5}] => (Allow) C:\Program Files (x86)\Baidu WiFiHotspot\WifiHotspot.exe (Baidu Online Network Technology (Beijing) Co.,Ltd. -> Baidu, Inc.)
FirewallRules: [{E5D26C16-5324-43FA-8FE3-B40CBBFF0E9C}] => (Block) C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Acrobat.exe (Adobe Inc. -> Adobe Systems Incorporated)
FirewallRules: [{40FC6965-5FB0-4EA1-9ACD-4575F0D15FE8}] => (Block) C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Acrobat.exe (Adobe Inc. -> Adobe Systems Incorporated)
FirewallRules: [{D5512DA2-CFF5-4B13-A467-B7F978E217B9}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)

==================== Puntos de Restauración =========================

08-05-2020 00:00:00 Punto de control programado
12-05-2020 12:14:22 Removed WMPKeys

==================== Dispositivos defectuosos en el Administrador de dispositivos ============


==================== Errores del registro de eventos: ========================

Errores de aplicación:
==================
Error: (05/17/2020 06:45:43 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

Error: (05/15/2020 10:56:20 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

Error: (05/12/2020 12:06:47 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

Error: (05/12/2020 12:05:03 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

Error: (05/07/2020 08:08:46 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

Error: (05/06/2020 12:14:00 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

Error: (05/06/2020 12:08:32 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

Error: (05/02/2020 05:33:04 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.


Errores del sistema:
=============
Error: (05/17/2020 06:46:49 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: El servicio MBAMChameleon no pudo iniciarse debido al siguiente error: 
El sistema no puede encontrar el archivo especificado.

Error: (05/17/2020 06:44:39 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: El servicio MBAMChameleon no pudo iniciarse debido al siguiente error: 
El sistema no puede encontrar el archivo especificado.

Error: (05/15/2020 10:57:02 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: El servicio MBAMChameleon no pudo iniciarse debido al siguiente error: 
El sistema no puede encontrar el archivo especificado.

Error: (05/15/2020 10:55:29 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: El servicio MBAMChameleon no pudo iniciarse debido al siguiente error: 
El sistema no puede encontrar el archivo especificado.

Error: (05/12/2020 12:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: El servicio MBAMChameleon no pudo iniciarse debido al siguiente error: 
El sistema no puede encontrar el archivo especificado.

Error: (05/12/2020 12:06:32 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: El servicio MBAMChameleon no pudo iniciarse debido al siguiente error: 
El sistema no puede encontrar el archivo especificado.

Error: (05/12/2020 12:05:46 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: El servidor {995C996E-D918-4A8C-A302-45719A6F4EA7} no se registró con DCOM dentro del tiempo de espera requerido.

Error: (05/12/2020 12:05:31 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: El servicio MBAMChameleon no pudo iniciarse debido al siguiente error: 
El sistema no puede encontrar el archivo especificado.


==================== Información de la memoria =========================== 

BIOS: Dell Inc. 1.2.2 09/07/2009
Placa base: Dell Inc. 0CKCXH
Procesador: Intel(R) Core(TM)2 Duo CPU E7500 @ 2.93GHz
Porcentaje de memoria en uso: 90%
RAM física total: 2046.99 MB
RAM física disponible: 202.95 MB
Virtual total: 4765.98 MB
Virtual disponible: 366.57 MB

==================== Unidades ================================

Drive c: (SYSTEM) (Fixed) (Total:74.43 GB) (Free:3.92 GB) NTFS

\\?\Volume{ed71778f-9b32-11de-a6ff-806e6f6e6963}\ (Reservado para el sistema) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS

==================== MBR & Tabla de particiones ====================

==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 74.5 GB) (Disk ID: 00041DBD)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=74.4 GB) - (Type=07 NTFS)

==================== Final de Addition.txt =======================

Hola @irving_cedeno1

Tardas mucho en volver y cualquier problema con virus luego de cada reinicio empeoran.

Después de un mes han cambiado muchas cosas en tu equipo, comenta que problemas continuan.

Que paso con la carpeta que aparecía en tu pendrive.?

Salu2

La carpeta del pendrive desaparecio, procedi a formatearlo debido al hecho que requeria usarlo y pues no he tenido problemas con el pendrive. Por otra parte la pc de escritorio continua con la carpeta que dice “ErrorResponder” y aun sigo sin poder elimarla, aunque no ha surgido modificaciones desde que aplique los metodos recomendados por usted, sin embargo los programas y documentos aun continuan encriptados. Rara vez la enciendo debido a que uso la laptop. Sin embargo si tengo deseos de recuperarla. La ultima vez que la encendi fue cuando descargue el programa Farbar Recovery Scann Tool. Y saque los .txt de alli.

Hola @irving_cedeno1

Lamentablemente no existe una herramienta que pueda desencriptar los archivos, siempre recomendamos que pasen los archivos encriptados a una USB por si algún día aparece algún desencriptador.

Ya veremos. En tu reporte se puede ver que tienes algunos archivos de sistema encriptados…:thinking:

Creo que por tu seguridad y la estabilidad de tu Sistema, luego de hacer los pasos que te voy a indicar seria conveniente que reinstalaras el Sistema Operativo desde 0.

Paso 1:

Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde C:\Users\DATA-Link\Downloads

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Paso 2:

Con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar nuevamente una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start
CloseProcesses:
(Google LLC -> Google LLC) C:\Windows\Temp\CR_162CB.tmp\setup.exe <2>
(Google LLC -> Google) C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\SwReporter\81.233.200\software_reporter_tool.exe <4>
HKLM-x32\...\Run: [] => [X]
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-21] (Microsoft Corporation) [Archivo no firmado]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Policies\Explorer: [] 
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Winlogon: [Shell] explorer.exe, "C:\ProgramData\ErrorResponder\errorResponder.exe" <==== ATENCIÓN
Startup: C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fjbcvttb.lnk.[25C73809].Encrypted [2020-04-24]
Task: {2679524A-E13D-448E-94C2-136E94135497} - System32\Tasks\UsbFix Monitor => C:\ProgramData\SosVirus\UsbFix\Modules\UsbFixMonitor.exe [1239160 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {5367FD5F-6B71-42B9-9F1F-742301217D14} - System32\Tasks\UsbFix Boot Scan => C:\ProgramData\SosVirus\UsbFix\UsbFix.exe [2053240 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {95F37A35-66EF-4997-89D2-29E9F4C813F1} - System32\Tasks\{C4B92F7D-FAF0-41C2-9FC2-A30D6EC8310D} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Malwarebytes\Anti-Malware\mbemsg.exe" -d "C:\Program Files\Malwarebytes\Anti-Malware"
Task: {D8150C83-0ACD-4856-83ED-711EE23087A5} - System32\Tasks\Baidu LiveUpdate => C:\Program [Argument = Files (x86)\Baidu WiFiHotspot\liveupdate.exe]
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=AE190201&iDate=2020-04-12 12:06:27&bName=
S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]
2020-04-26 17:13 - 2020-04-26 17:13 - 000003216 _____ C:\Windows\system32\Tasks\UsbFix Monitor
2020-04-26 17:13 - 2020-04-26 17:13 - 000003214 _____ C:\Windows\system32\Tasks\UsbFix Boot Scan
2020-04-24 10:24 - 2020-05-17 18:57 - 000000000 ____D C:\ProgramData\ErrorResponder
ShellServiceObjects: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
ShellServiceObjects-x32: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Classes\.scr: AutoCADScriptFile => C:\Windows\system32\notepad.exe "%1"
VirusTotal: C:\Windows\kffee.exe

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro con Red>>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2

Reporte fixlog

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 13-05-2020 01
Ejecutado por DATA-Link (20-05-2020 00:15:14) Run:3
Ejecutado desde C:\Users\DATA-Link\Desktop
Perfiles cargados: DATA-Link
Modo de Inicio: Safe Mode (with Networking)
==============================================

fixlist contenido:
*****************
Start
CloseProcesses:
(Google LLC -> Google LLC) C:\Windows\Temp\CR_162CB.tmp\setup.exe <2>
(Google LLC -> Google) C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\SwReporter\81.233.200\software_reporter_tool.exe <4>
HKLM-x32\...\Run: [] => [X]
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-21] (Microsoft Corporation) [Archivo no firmado]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricci�n <==== ATENCI�N
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Policies\Explorer: [] 
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Winlogon: [Shell] explorer.exe, "C:\ProgramData\ErrorResponder\errorResponder.exe" <==== ATENCI�N
Startup: C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fjbcvttb.lnk.[25C73809].Encrypted [2020-04-24]
Task: {2679524A-E13D-448E-94C2-136E94135497} - System32\Tasks\UsbFix Monitor => C:\ProgramData\SosVirus\UsbFix\Modules\UsbFixMonitor.exe [1239160 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {5367FD5F-6B71-42B9-9F1F-742301217D14} - System32\Tasks\UsbFix Boot Scan => C:\ProgramData\SosVirus\UsbFix\UsbFix.exe [2053240 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {95F37A35-66EF-4997-89D2-29E9F4C813F1} - System32\Tasks\{C4B92F7D-FAF0-41C2-9FC2-A30D6EC8310D} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Malwarebytes\Anti-Malware\mbemsg.exe" -d "C:\Program Files\Malwarebytes\Anti-Malware"
Task: {D8150C83-0ACD-4856-83ED-711EE23087A5} - System32\Tasks\Baidu LiveUpdate => C:\Program [Argument = Files (x86)\Baidu WiFiHotspot\liveupdate.exe]
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=AE190201&iDate=2020-04-12 12:06:27&bName=
S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]
2020-04-26 17:13 - 2020-04-26 17:13 - 000003216 _____ C:\Windows\system32\Tasks\UsbFix Monitor
2020-04-26 17:13 - 2020-04-26 17:13 - 000003214 _____ C:\Windows\system32\Tasks\UsbFix Boot Scan
2020-04-24 10:24 - 2020-05-17 18:57 - 000000000 ____D C:\ProgramData\ErrorResponder
ShellServiceObjects: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
ShellServiceObjects-x32: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Classes\.scr: AutoCADScriptFile => C:\Windows\system32\notepad.exe "%1"
VirusTotal: C:\Windows\kffee.exe

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************

Procesos cerrados correctamente.
C:\Windows\Temp\CR_162CB.tmp\setup.exe => No se encontró ningún proceso en ejecución
C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\SwReporter\81.233.200\software_reporter_tool.exe => No se encontró ningún proceso en ejecución
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => no encontrado
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe" => valor restaurado correctamente
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => no encontrado
"HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\" => no encontrado
"HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => no encontrado
"C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fjbcvttb.lnk.[25C73809].Encrypted" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2679524A-E13D-448E-94C2-136E94135497}" => no encontrado
"C:\Windows\System32\Tasks\UsbFix Monitor" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UsbFix Monitor" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5367FD5F-6B71-42B9-9F1F-742301217D14}" => no encontrado
"C:\Windows\System32\Tasks\UsbFix Boot Scan" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\UsbFix Boot Scan" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{95F37A35-66EF-4997-89D2-29E9F4C813F1}" => no encontrado
"C:\Windows\System32\Tasks\{C4B92F7D-FAF0-41C2-9FC2-A30D6EC8310D}" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{C4B92F7D-FAF0-41C2-9FC2-A30D6EC8310D}" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8150C83-0ACD-4856-83ED-711EE23087A5}" => no encontrado
"C:\Windows\System32\Tasks\Baidu LiveUpdate" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Baidu LiveUpdate" => no encontrado
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Microsoft\Internet Explorer\Main\\"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" => valor restaurado correctamente
MBAMChameleon => No se puede detener el servicio.
HKLM\System\CurrentControlSet\Services\MBAMChameleon => eliminado correctamente
MBAMChameleon => servicio eliminado correctamente
"C:\Windows\system32\Tasks\UsbFix Monitor" => no encontrado
"C:\Windows\system32\Tasks\UsbFix Boot Scan" => no encontrado
"C:\ProgramData\ErrorResponder" => no encontrado
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{900c0763-5cad-4a34-bc1f-40cd513679d5} => no encontrado
HKLM\Software\Classes\CLSID\{900c0763-5cad-4a34-bc1f-40cd513679d5} => no encontrado
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{900c0763-5cad-4a34-bc1f-40cd513679d5} => no encontrado
HKLM\Software\WOW6432Node\Classes\CLSID\{900c0763-5cad-4a34-bc1f-40cd513679d5} => no encontrado
"CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"" => no encontrado
"BVTFilter" => no encontrado
"BVTConsumer" => no encontrado
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Classes\.scr => no encontrado
VirusTotal: C:\Windows\kffee.exe => (3) Error

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Conexi¢n de red inal mbrica 7 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de red inal mbrica 6 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local mientras los medios
est‚n desconectados.

Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica 7:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica 6:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica 4:

   Sufijo DNS espec¡fico para la conexi¢n. . : cantv.net
   V¡nculo: direcci¢n IPv6 local. . . : fe80::ad64:7814:ecd5:cdc9%16
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.0.131
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 192.168.0.1

Adaptador de Ethernet Conexi¢n de  rea local:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{894D1D3D-1E71-4E05-8F4A-8D97FC2035E7}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{E7658B94-D89E-4D50-9913-0200D72A4963}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.cantv.net:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{7164C037-9E43-4AAE-9695-404C23C15D79}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

Unable to connect to BITS - 0x8007042c

========= Final de CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Interfaz se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= RemoveProxy: =========

"HKU\S-1-5-21-499082674-3892550817-2984342719-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-499082674-3892550817-2984342719-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 36884 B
Java, Flash, Steam htmlcache => 756 B
Windows/system/drivers => 6024733 B
Edge => 0 B
Chrome => 305822754 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 101228 B
systemprofile32 => 167584 B
LocalService => 233812 B
NetworkService => 300040 B
DATA-Link => 12501221 B

RecycleBin => 503926 B
EmptyTemp: => 318.6 MB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 00:17:02 ====

También quiero aclarar que la carpeta nombrada ErrorResponder no aparece en la ubicación del disco (C:) Anteriormente se encontraba ubicada en la carpeta ProgramData sin embargo ya no esta por ninguna parte.

Hola @irving_cedeno1

Ya la eliminamos con FRST.

Quite los reportes nuevos de FRST y Delfix ya que no eran necesarios, con el Fixlog es suficiente.


Siguiendo la ruta busca y sube el siguiente archivo a VirusTotal:

  • C:\Windows\kffee.exe

Manual de Virus Total.

No olvides re-analizar la muestra.

Salu2

https://www.virustotal.com/gui/file/a6c83525b80f69e7b4cb48dea9367613b002682df59b688a769ad397ff12a2d0/detection

Hola @irving_cedeno1

Lindo bichito resulto…60 detecciones… :scream: :scream:

Siguiendo la ruta lo buscas, lo eliminas y vacías la papelera.

  • C:\Windows\ kffee.exe

Luego realiza lo siguiente:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

2.- Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Salu2

1 me gusta

Buenas tardes, disculpe no pegarlo en manera de reporte, pero la opción no me apareció después de haber terminado el análisis, no se si es por el hecho que el internet se callo varias veces mientras se ejecutaba el análisis, ya que incluso como se puede ver en la imagen tampoco me da para generar el reporte en la información que genera el cuadro de la cuarentena. Reporte del EnEs