RANSOMWARE EXTENSIÓN *.mado 2020

Hola @Nestor_Bautista

Realiza los pasos indicados en el siguiente enlace:

Nos comentas si pudiste descifrar algún archivo.

Salu2

Starting...

File: E:\TRABAJO 03-04-20\1 Am J Orthod Dentofacial Orthop. 1988_94 2 89-96.pdf.pdf.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\1 The super-elastic Japanese NiTi alloy wire for use in orthodontics PARA TRADUCIR.docx.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\2 Am J Orthod Dentofacial Orthop. 1999.pdf.pdf.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\2 Mechanical properties of several nickel-titanium alloy wires in three-...PARA TRADUCIR.docx.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\3 ARCH EXPANSION EFFICIENCY OF COAXIAL TUBULAR para traducir.docx.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\3 J Int Soc Prev Community Dent. 2019.pdf.pdf.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\4 Biomechanical Analysis of Arch-Guided Molar Distalization..PARA TRADUCIR.docx.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\4 J Orofac Orthop. 1999_60 2 124-35(1).pdf.pdf.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

File: E:\TRABAJO 03-04-20\TP correctivos.docx.mado
No key for New Variant online ID: R9hp6Ie3z8ZxvpuMA52Ry4nKW4Dsa2pP6Q1hrYmA
Notice: this ID appears to be an online ID, decryption is impossible

Finished!

Hola @Nestor_Bautista

La herramienta te dice que fuiste encriptado con una Clave Online y la desencriptación es imposible.

Por el momento solo queda que guardes, por si algo apareciera mas adelante, tus archivos en un disco externo.

Nada mas se puede hacer.

Solo comenta como sientes el equipo o si crees aun continuar infectado para darte pasos para su limpieza.

Salu2

si, creo que esta infectado todavia, ya que no permite abrir ciertas paginas. yo habia bajado el stellar data recovery, que es pago. no sabras si funciona?

Hola @Nestor_Bautista

No lo conozco, si pagaste por el deberia funcionar.

Si es para recuperar tus archivos no sirven.


Si no puedes descargar o ejecutar las herramientas, inicias en Modo Seguro con Red, y lo haces desde allí:

Cualquier problema o error vienes y lo comentas.

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes Versión 4

  • Lo ejecutas siguiendo los pasos de su Manual.
  • Realizas un Análisis de Amenazas
  • Revisa especialmente como salvar el reporte.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.

Guía: ¿Como Pegar reportes en el Foro?

Salu2

www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 2/4/20
Hora del análisis: 19:43
Archivo de registro: 66cf434c-7533-11ea-b4b5-e8039a5934fd.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.867
Versión del paquete de actualización: 1.0.21806
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: Silvia-PC\Silvia

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 314035
Amenazas detectadas: 202
Amenazas en cuarentena: 202
Tiempo transcurrido: 9 min, 28 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 76
Trojan.FakeTool.E, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\DreamTrips, En cuarentena, 3112, 701670, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\CloudPrinter, En cuarentena, 921, 259506, , , , 
PUP.Optional.GarbageCleaner, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\GCleaner, En cuarentena, 1205, 676886, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\mtVoyasollam, En cuarentena, 903, 378721, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\Reimage, En cuarentena, 382, 357494, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\Voyasollam_RASAPI32, En cuarentena, 903, 378719, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\Voyasollam_RASMANCS, En cuarentena, 903, 378719, 1.0.21806, , ame, 
Adware.Linkury, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\Voyasollam.exe, En cuarentena, 423, 540333, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SILENTPROCESSEXIT\Voyasollam.exe, En cuarentena, 903, 378717, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\APPID\REI_AxControl.DLL, En cuarentena, 382, 327193, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\snf, En cuarentena, 903, 666524, , , , 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{0E5DB666-7145-411C-9297-9E37CD3A7E65}, En cuarentena, 903, 666524, , , , 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{0E5DB666-7145-411C-9297-9E37CD3A7E65}, En cuarentena, 903, 666524, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\REI_AxControl.ReiEngine.1, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{10ECCE17-29B5-4880-A8F5-EAD298611484}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\TYPELIB\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\INTERFACE\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\INTERFACE\{BD51A48E-EB5F-4454-8774-EF962DF64546}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{BD51A48E-EB5F-4454-8774-EF962DF64546}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{BD51A48E-EB5F-4454-8774-EF962DF64546}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}, En cuarentena, 382, 327197, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\REI_AxControl.ReiEngine, En cuarentena, 382, 327197, 1.0.21806, , ame, 
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OPERA SCHEDULED AUTOUPDATE 711520318, En cuarentena, 1113, 676756, , , , 
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{5EC5D31D-D1F2-4363-AAE4-A4EFD586C789}, En cuarentena, 1113, 676756, , , , 
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{5EC5D31D-D1F2-4363-AAE4-A4EFD586C789}, En cuarentena, 1113, 676756, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\REI_AxControl.DLL, En cuarentena, 382, 327193, 1.0.21806, , ame, 
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\TIME TRIGGER TASK, En cuarentena, 3715, 601202, , , , 
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{C2A31351-3875-43D0-A0A1-5221606BE540}, En cuarentena, 3715, 601202, , , , 
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{C2A31351-3875-43D0-A0A1-5221606BE540}, En cuarentena, 3715, 601202, , , , 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\snp, En cuarentena, 903, 666527, , , , 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{47F0E62C-D68A-411B-99CF-A0C029A0CAD3}, En cuarentena, 903, 666527, , , , 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{47F0E62C-D68A-411B-99CF-A0C029A0CAD3}, En cuarentena, 903, 666527, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\REI_AxControl.DLL, En cuarentena, 382, 327193, 1.0.21806, , ame, 
PUP.Optional.Linkury, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{ielnksrch}, En cuarentena, 265, 259313, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\REIMAGE\PC REPAIR, En cuarentena, 382, 327204, 1.0.21806, , ame, 
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\bestavicampaign563, En cuarentena, 520, 584322, 1.0.21806, , ame, 
PUP.Optional.Linkury, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\ielnksrch, En cuarentena, 265, 259314, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\LOCAL APPWIZARD-GENERATED APPLICATIONS\Fixer - Windows Problem Relief., En cuarentena, 382, 709541, 1.0.21806, , ame, 
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\campaign9961, En cuarentena, 520, 518478, 1.0.21806, , ame, 
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\multitimercampaign84170, En cuarentena, 520, 518476, 1.0.21806, , ame, 
Adware.Linkury, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\VoyasollamU, En cuarentena, 423, 540332, 1.0.21806, , ame, 
Adware.Linkury, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\Voyasollam.exe, En cuarentena, 423, 540333, 1.0.21806, , ame, 
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\Speedycar, En cuarentena, 520, 518473, 1.0.21806, , ame, 
Adware.ICLoader, HKLM\SOFTWARE\MICROSOFT\TechnologyDesktopnew, En cuarentena, 520, 518479, 1.0.21806, , ame, 
Trojan.CrthRazy, HKLM\SOFTWARE\WOW6432NODE\Machiner, En cuarentena, 3166, 676882, 1.0.21806, , ame, 
Trojan.CrthRazy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\MAIN SERVICE, En cuarentena, 3166, 708187, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\WOW6432NODE\mtVoyasollam, En cuarentena, 903, 378722, 1.0.21806, , ame, 
PUP.Optional.SuperOptimizer, HKLM\SOFTWARE\WOW6432NODE\{1146AC44-2F03-4431-B4FD-889BC837521F}, En cuarentena, 1625, 243671, 1.0.21806, , ame, 
Adware.Linkury, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP PATHS\VoyasollamU, En cuarentena, 423, 540332, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{57EA1F93-805B-4F8F-8D11-568EB6D088A9}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{57EA1F93-805B-4F8F-8D11-568EB6D088A9}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\psv_Jobing, En cuarentena, 921, 259770, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{6CD03382-0A74-4ECD-A799-E04FB36040E6}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{6CD03382-0A74-4ECD-A799-E04FB36040E6}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\psv_SaoZenin, En cuarentena, 921, 259770, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{1BC5594B-948E-4824-AC5D-4316BD2803B5}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{1BC5594B-948E-4824-AC5D-4316BD2803B5}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\psv_Sunstrong, En cuarentena, 921, 259770, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{72F4EFB5-44D1-4723-8F91-F4878CE72A78}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{72F4EFB5-44D1-4723-8F91-F4878CE72A78}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\psv_Touchit, En cuarentena, 921, 259770, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F5589EC0-FF19-4B47-A159-1427F48925D9}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{F5589EC0-FF19-4B47-A159-1427F48925D9}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\psv_Tresdom, En cuarentena, 921, 259770, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{A49DC0B1-2F32-4B7B-9DD1-4B7A814E7C03}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{A49DC0B1-2F32-4B7B-9DD1-4B7A814E7C03}, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\psv_Warmdom, En cuarentena, 921, 259770, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKLM\SOFTWARE\REIMAGE\Reimage Repair, En cuarentena, 382, 336077, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\APPID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}, En cuarentena, 382, 332494, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}, En cuarentena, 382, 332494, , , , 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}, En cuarentena, 382, 332494, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}, En cuarentena, 382, 327206, 1.0.21806, , ame, 

Valor del registro: 18
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS|APPINIT_DLLS, En cuarentena, 921, -1, 0.0.0, , action, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS|APPINIT_DLLS, En cuarentena, 921, -1, 0.0.0, , action, 
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|DEFAULT, En cuarentena, 921, 259988, 1.0.21806, , ame, 
PUP.Optional.Linkury, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{ielnksrch}|DISPLAYNAME, En cuarentena, 265, 259313, 1.0.21806, , ame, 
Trojan.Agent.Generic, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|SYSHELPER, En cuarentena, 3715, 761989, 1.0.21806, , ame, 
PUP.Optional.Reimage, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\REIMAGE\PC REPAIR|QUITMESSAGE, En cuarentena, 382, 327204, 1.0.21806, , ame, 
PUP.Optional.Linkury, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\ielnksrch|DISPLAYNAME, En cuarentena, 265, 259314, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\ielnksrch|URL, En cuarentena, 921, 259989, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{ielnksrch}|URL, En cuarentena, 921, 259987, 1.0.21806, , ame, 
PUM.Optional.MSExclusion, HKLM\SOFTWARE\MICROSOFT\WINDOWS DEFENDER\EXCLUSIONS\PATHS|C:\WINDOWS\SYSWOW64\MDXHOSQG, En cuarentena, 6972, 692398, 1.0.21806, , ame, 
Adware.Tuto4PC.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|Y25WVFLJYHB, En cuarentena, 3711, 730662, 1.0.21806, , ame, 
Rootkit.Agent, HKLM\SOFTWARE\MICROSOFT|MSVER1, En cuarentena, 489, 678869, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\CLOUDPRINTER|IMAGEPATH, En cuarentena, 921, 259916, 1.0.21806, , ame, 
Trojan.CrthRazy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\MAIN SERVICE|IMAGEPATH, En cuarentena, 3166, 708187, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{0E5DB666-7145-411C-9297-9E37CD3A7E65}|PATH, En cuarentena, 903, 666523, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{47F0E62C-D68A-411B-99CF-A0C029A0CAD3}|PATH, En cuarentena, 903, 666526, 1.0.21806, , ame, 
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{5EC5D31D-D1F2-4363-AAE4-A4EFD586C789}|PATH, En cuarentena, 1113, 676758, 1.0.21806, , ame, 
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{C2A31351-3875-43D0-A0A1-5221606BE540}|PATH, En cuarentena, 3715, 601200, 1.0.21806, , ame, 

Datos del registro: 9
PUM.Optional.DisableTaskMgr, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|DISABLETASKMGR, Sustituido, 13627, 293320, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|SEARCH PAGE, Sustituido, 921, 293485, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Sustituido, 921, 293485, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|SEARCH BAR, Sustituido, 921, 293485, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|SEARCHASSISTANT, Sustituido, 921, 293485, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|DEFAULT_SEARCH_URL, Sustituido, 921, 293486, 1.0.21806, , ame, 
PUP.Optional.Linkury, HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DEFAULTSCOPE, Sustituido, 265, 293476, 1.0.21806, , ame, 
PUP.Optional.Linkury, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DEFAULTSCOPE, Sustituido, 265, 293477, 1.0.21806, , ame, 
Adware.SonicSearch, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|DEFAULT, Sustituido, 13635, 693611, 1.0.21806, , ame, 

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 27
PUP.Optional.Linkury.ACMB1, C:\PROGRAMDATA\CLOUDPRINTER, En cuarentena, 921, 259506, 1.0.21806, , ame, 
Trojan.Agent.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\ecb50ec1-6852-4d5f-9b18-5299bb2e3a2c, En cuarentena, 3715, 701070, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, C:\PROGRAMDATA\VOYASOLLAM, En cuarentena, 903, 378434, 1.0.21806, , ame, 
PUP.Optional.Reimage, C:\ProgramData\ReimageRepair\Results, En cuarentena, 382, 651074, , , , 
PUP.Optional.Reimage, C:\PROGRAMDATA\REIMAGEREPAIR, En cuarentena, 382, 651074, 1.0.21806, , ame, 
Trojan.CrthRazy, C:\PROGRAM FILES (X86)\MACHINERDATA, En cuarentena, 3166, 676766, 1.0.21806, , ame, 
PUP.Optional.GarbageCleaner, C:\PROGRAMDATA\GARBAGE CLEANER, En cuarentena, 1205, 676884, 1.0.21806, , ame, 
Spyware.StolenData.E, C:\ProgramData\IPLTYKVS6KK5SGCOG22W0JAU0\files\Wallets\ElectronCash, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\IPLTYKVS6KK5SGCOG22W0JAU0\files\Wallets\ElectrumLTC, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\IPLTYKVS6KK5SGCOG22W0JAU0\files\Wallets\MultiDoge, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\IPLTYKVS6KK5SGCOG22W0JAU0\files\Wallets\Electrum, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\IPLTYKVS6KK5SGCOG22W0JAU0\files\Wallets\Ethereum, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\IPLTYKVS6KK5SGCOG22W0JAU0\files\Wallets\Exodus, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\IPLTYKVS6KK5SGCOG22W0JAU0\files\Wallets\JAXX, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\PROGRAMDATA\IPLTYKVS6KK5SGCOG22W0JAU0\FILES\Wallets, En cuarentena, 899, 697276, 1.0.21806, , ame, 
Spyware.StolenData.E, C:\ProgramData\KECRK9QVE7TPG0TNW4TEV64XJ\files\Wallets\ElectronCash, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\KECRK9QVE7TPG0TNW4TEV64XJ\files\Wallets\ElectrumLTC, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\KECRK9QVE7TPG0TNW4TEV64XJ\files\Wallets\MultiDoge, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\KECRK9QVE7TPG0TNW4TEV64XJ\files\Wallets\Electrum, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\KECRK9QVE7TPG0TNW4TEV64XJ\files\Wallets\Ethereum, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\KECRK9QVE7TPG0TNW4TEV64XJ\files\Wallets\Exodus, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\ProgramData\KECRK9QVE7TPG0TNW4TEV64XJ\files\Wallets\JAXX, En cuarentena, 899, 697276, , , , 
Spyware.StolenData.E, C:\PROGRAMDATA\KECRK9QVE7TPG0TNW4TEV64XJ\FILES\Wallets, En cuarentena, 899, 697276, 1.0.21806, , ame, 
PUP.Optional.DiskFixer, C:\PROGRAM FILES (X86)\DISKFIXER, En cuarentena, 2966, 758710, 1.0.21806, , ame, 
PUP.Optional.Linkury.Generic, C:\PROGRAMDATA\VOYASOLLAMS, En cuarentena, 201, 380106, 1.0.21806, , ame, 
PUP.Optional.SonicSearch, C:\USERS\SILVIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, En cuarentena, 427, 519968, , , , 
PUP.Optional.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, En cuarentena, 201, 454805, , , , 

Archivo: 72
Trojan.InfoStealer, C:\USERS\SILVIA\APPDATA\LOCAL\TEMP\delself.bat, En cuarentena, 5568, 250847, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, C:\PROGRAMDATA\CLOUDPRINTER\CLOUDPRINTER.DAT, En cuarentena, 921, 259506, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, C:\ProgramData\CloudPrinter\CloudPrinter.exe, En cuarentena, 921, 259506, , , , 
PUP.Optional.Linkury.ACMB1, C:\ProgramData\CloudPrinter\Config.xml, En cuarentena, 921, 259506, , , , 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\NOAH.DAT, En cuarentena, 3752, 404865, 1.0.21806, , ame, 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\AGENT.DAT, En cuarentena, 3752, 404872, 1.0.21806, , ame, 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\MAIN.DAT, En cuarentena, 3752, 442900, 1.0.21806, , ame, 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\Movenix.tst, En cuarentena, 3752, 404871, 1.0.21806, , ame, 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\SanIs.tst, En cuarentena, 3752, 404871, 1.0.21806, , ame, 
PUP.Optional.Linkury.ACMB1, C:\WINDOWS\SYSWOW64\FINDIT.XML, En cuarentena, 921, 259512, 1.0.21806, , ame, 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\MD.XML, En cuarentena, 3752, 404866, 1.0.21806, , ame, 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\UNINSTALL_TEMP.ICO, En cuarentena, 3752, 404862, 1.0.21806, , ame, 
Trojan.Agent.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\ecb50ec1-6852-4d5f-9b18-5299bb2e3a2c\updatewin1.exe, En cuarentena, 3715, 701070, 1.0.21806, , ame, 
Trojan.Agent.Generic, C:\Users\Silvia\AppData\Local\ecb50ec1-6852-4d5f-9b18-5299bb2e3a2c\5.exe, En cuarentena, 3715, 701070, , , , 
Trojan.Agent.Generic, C:\Users\Silvia\AppData\Local\ecb50ec1-6852-4d5f-9b18-5299bb2e3a2c\updatewin2.exe, En cuarentena, 3715, 701070, , , , 
Adware.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\SNF, En cuarentena, 903, 666524, 1.0.21806, , ame, 
Trojan.Agent, C:\USERS\SILVIA\APPDATA\LOCAL\APPLICATIONHOSTING.DAT, En cuarentena, 490, 712640, 1.0.21806, , ame, 
Adware.Linkury, C:\USERS\SILVIA\APPDATA\LOCAL\installer.dat, En cuarentena, 423, 715618, 1.0.21806, , ame, 
Adware.Linkury, C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\installer.dat, En cuarentena, 423, 715618, 1.0.21806, , ame, 
Trojan.Agent, C:\USERS\SILVIA\APPDATA\LOCAL\LOBBY.DAT, En cuarentena, 490, 712637, 1.0.21806, , ame, 
Trojan.SmokeLoader, C:\WINDOWS\SYSTEM32\TASKS\OPERA SCHEDULED AUTOUPDATE 711520318, En cuarentena, 1113, 676756, 1.0.21806, , ame, 
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\TIME TRIGGER TASK, En cuarentena, 3715, 601202, 1.0.21806, , ame, 
Adware.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\SNP, En cuarentena, 903, 666527, 1.0.21806, , ame, 
Trojan.Agent.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\A4D0756C-BEF0-4082-B499-A997D57B5D10\71DE.TMP.EXE, En cuarentena, 3715, 761989, , , , 
Adware.Tuto4PC.Generic, C:\PROGRAM FILES (X86)\GOQILEKD\109289818.EXE, En cuarentena, 3711, 730662, , , , 
Trojan.CrthRazy, C:\PROGRAM FILES (X86)\MACHINERDATA\EMOMAIL.EXE, En cuarentena, 3166, 708187, , , , 
PUP.Optional.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\PSV_JOBING, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\PSV_SAOZENIN, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\PSV_SUNSTRONG, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\PSV_TOUCHIT, En cuarentena, 921, 259770, , , , 
PUP.Optional.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\PSV_TRESDOM, En cuarentena, 921, 259770, , , , 
PUP.Optional.Reimage, C:\ProgramData\ReimageRepair\Results\ProtectorPackage.log, En cuarentena, 382, 651074, , , , 
PUP.Optional.Reimage, C:\ProgramData\ReimageRepair\active_protection.txt, En cuarentena, 382, 651074, , , , 
PUP.Optional.Reimage, C:\ProgramData\ReimageRepair\cfl.rei, En cuarentena, 382, 651074, , , , 
PUP.Optional.Reimage, C:\ProgramData\ReimageRepair\scan_agent_result_log.txt, En cuarentena, 382, 651074, , , , 
PUP.Optional.Reimage, C:\ProgramData\ReimageRepair\url_setting_definitions.txt, En cuarentena, 382, 651074, , , , 
PUP.Optional.Linkury.ACMB1, C:\WINDOWS\SYSTEM32\TASKS\PSV_WARMDOM, En cuarentena, 921, 259770, , , , 
Trojan.CrthRazy, C:\Program Files (x86)\MachinerData\main.exe, En cuarentena, 3166, 676766, , , , 
PUP.Optional.GarbageCleaner, C:\ProgramData\Garbage Cleaner\Bunifu_UI_v1.5.3.dll, En cuarentena, 1205, 676884, , , , 
PUP.Optional.GarbageCleaner, C:\ProgramData\Garbage Cleaner\Garbage Cleaner.exe, En cuarentena, 1205, 676884, , , , 
Adware.Linkury.TskLnk, C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\INSTALLATIONCONFIGURATION.XML, En cuarentena, 15020, 444922, 1.0.21806, , ame, 
Adware.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\CONFIG.XML, En cuarentena, 3752, 404859, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 301411, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 301414, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 301415, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 301416, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 301417, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 301418, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302764, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302764, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302764, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302764, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302764, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302764, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302766, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 302766, 1.0.21806, , ame, 
Hijack.Host, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 15341, 324964, 1.0.21806, , ame, 
PUP.Optional.Linkury.Generic, C:\PROGRAMDATA\VOYASOLLAMS\FF.HP, En cuarentena, 201, 380106, 1.0.21806, , ame, 
PUP.Optional.Linkury.Generic, C:\ProgramData\Voyasollams\ff.NT, En cuarentena, 201, 380106, , , , 
PUP.Optional.Linkury.Generic, C:\ProgramData\Voyasollams\snp.sc, En cuarentena, 201, 380106, , , , 
Adware.Linkury.TskLnk, C:\USERS\SILVIA\APPDATA\LOCAL\INSTALLATIONCONFIGURATION.XML, En cuarentena, 15020, 444923, 1.0.21806, , ame, 
Adware.Linkury, C:\USERS\SILVIA\APPDATA\LOCAL\SUBTOM.BIN, En cuarentena, 423, 504848, 1.0.21806, , ame, 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\001746.log, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\001748.ldb, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\Users\Silvia\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, En cuarentena, 427, 519968, , , , 
PUP.Optional.SonicSearch, C:\USERS\SILVIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, 427, 519968, 1.0.21806, , ame, 
PUP.Optional.Linkury.Generic, C:\USERS\SILVIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, 201, 454805, 1.0.21806, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

---

ese habia pasado antes. hice nuevo scan y no aparece ninguno

Hola @Nestor_Bautista

Continua con las demás herramientas.

Salu2

1 me gusta

Hola! muchas, gracias, parece que ya no tengo el virus, te adjunto los infomres. pero me quedo medio lenta la compu. registro malwa.txt (28,2 KB) AdwCleaner[C00].txt (5,1 KB) zhp.txt (3,1 KB)

Una pregunta mas. Es totalmente imposible recuperar esos archivos? Creen que en algún momento se podran recuperar? estoy desesperado, pero lamentablemente no tengo los 1000 dolares para pagar

Hola Nestor, me pasó lo mismo hace unos dias, descargue un instalador para un programa de arquitectura, y al final era este virus con .mado, si sabes de alguna solución, avisame tmb, y yo hare igual, gracias

Hola de vuelta, saben que pasé todos esos antivirus, ninguno encuentra nada. La.compu esta medio lenta, y no puedo acceder a eset online, o a paginas para bajar antivirus. Lo que hice desde el cel los mande al drive, ahi descargue e instalé

Un mensaje ha sido separado a un nuevo tema: Ransomware extensión .Mado

Te dejo una excelente explicación de un compañero en otro tema:

Nunca recomendamos pagar, ya que un algunos casos puede darse una estafa.

Pues no coincido los reportes que pegaste muestran que tenias todos los Adware de la red, varios troyanos y Hijackers. O sea tu equipo muy infectado.

Las herramientas indicadas no van a desencriptar tus archivos, solo a desinfectar tu computadora.

Tu equipo continua infectado.


Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

1 me gusta

excelente, adjunto los archivosFRST.txt (117,9 KB) Addition.txt (54,2 KB) puede ser que el ransomware ya se borro. porque ya no me encriptó nada, y pusé un pen con cosas no importantes y tampoco. antes no permitía ingresar al administrador de archivos y ahora si.

Hola @Nestor_Bautista

Por lo general una vez que el Ransomware encripta los archivos se auto-elimina.

Lo que no puedo asegurarte que las infecciones que tienes fueron anteriores o posteriores a el.


Sigue estos pasos:

Paso 1: Desinstala con Revo Uninstaller en su Modo Avanzado:

  • Avast Secure Browser

Manual de Revo Uninstaller.

Paso 2:

1.- Muy Importante >>> Realizar nuevamente una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego vaya a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start
CloseProcesses:
HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\...\MountPoints2: {691879c7-4a6a-11e8-93cf-50b7c328e4ff} - D:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\...\MountPoints2: {6ec7b8a6-cc6e-11e7-addb-026405650c72} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\...\MountPoints2: {d9df4015-6b3c-11e4-bc3c-ad9e4fc31700} - "E:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\...\MountPoints2: {ef12470d-3a05-11e8-b01f-e8039a524421} - F:\HiSuiteDownLoader.exe
HKLM\Software\Microsoft\Active Setup\Installed Components: [{A8504530-742B-42BC-895D-2BAD6406F698}] -> C:\Program Files (x86)\AVAST Software\Browser\Application\80.0.3765.150\Installer\chrmstp.exe [2020-04-03] (Avast Software s.r.o. -> AVAST Software)
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> "C:\Program Files (x86)\Google\Chrome\Application\57.0.2987.133\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {102372FF-7D6A-45B9-8518-143DA204C37E} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [199376 2020-04-03] (AVAST Software s.r.o. -> AVAST Software)
Task: {4DC0A41A-19F5-49B0-9EC4-823664F0E544} - System32\Tasks\{A0BBFDA5-94D7-4E4C-A5E5-E996B1246F94} => C:\windows\system32\pcalua.exe -a C:\Users\Silvia\Downloads\Bluetooth_WXP_5.6.0.7000\Setup.exe -d C:\Users\Silvia\Downloads\Bluetooth_WXP_5.6.0.7000
Task: {4E126E8E-475A-43E6-AC06-DF11F090B852} - System32\Tasks\Avast Secure Browser Heartbeat Task (Hourly) => C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe [2023832 2020-03-19] (Avast Software s.r.o. -> AVAST Software)
Task: {9552FE36-563A-4B5F-9619-6B3054254A58} - System32\Tasks\{5E67FCAB-95A2-407B-8540-3DBF0633D43A} => C:\windows\system32\pcalua.exe -a C:\Users\Silvia\Downloads\Bluetooth_WXP_5.6.0.7000\Setup.exe -d C:\Users\Silvia\Downloads\Bluetooth_WXP_5.6.0.7000
Task: {95830D8C-568F-41A3-BACB-9C7DB1DA63F9} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [199376 2020-04-03] (AVAST Software s.r.o. -> AVAST Software)
Task: {E0064E95-87BF-4C81-A400-28B3CD3496F3} - System32\Tasks\Avast Secure Browser Heartbeat Task (Logon) => C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe [2023832 2020-03-19] (Avast Software s.r.o. -> AVAST Software)
Task: C:\windows\Tasks\GridinSoft Anti-Malware.job => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restricción <==== ATENCIÓN
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank
URLSearchHook: [S-1-5-21-3019253350-1869777649-2031913490-1000] ATENCIÓN => No se encuentra URLSearchHook predeterminado
FF Plugin-x32: @update.avastbrowser.com/Avast Browser;version=3 -> C:\Program Files (x86)\AVAST Software\Browser\Update\1.6.605.0\npAvastBrowserUpdate3.dll [2020-04-03] (AVAST Software s.r.o. -> AVAST Software)
FF Plugin-x32: @update.avastbrowser.com/Avast Browser;version=9 -> C:\Program Files (x86)\AVAST Software\Browser\Update\1.6.605.0\npAvastBrowserUpdate3.dll [2020-04-03] (AVAST Software s.r.o. -> AVAST Software)
CHR HKU\S-1-5-21-3019253350-1869777649-2031913490-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd]
"mdxhosqg" => servicio fue desbloqueado. <==== ATENCIÓN
S2 mdxhosqg; C:\windows\SysWOW64\mdxhosqg\tfesdnvp.exe [X]
2020-04-02 15:15 - 2020-04-03 10:32 - 000000000 ____D C:\windows\SysWOW64\mdxhosqg
S3 AvastSecureBrowserElevationService; C:\Program Files (x86)\AVAST Software\Browser\Application\80.0.3765.150\elevation_service.exe [1124080 2020-03-19] (Avast Software s.r.o. -> AVAST Software)
S4 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
2020-04-03 22:35 - 2020-04-03 22:35 - 000003150 _____ C:\windows\system32\Tasks\Avast Secure Browser Heartbeat Task (Logon)
2020-04-03 22:35 - 2020-04-03 22:35 - 000002513 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast Secure Browser.lnk
2020-04-03 22:35 - 2020-04-03 22:35 - 000002470 _____ C:\Users\Public\Desktop\Avast Secure Browser.lnk
2020-04-03 22:35 - 2020-04-03 22:35 - 000002470 _____ C:\ProgramData\Desktop\Avast Secure Browser.lnk
2020-04-03 22:32 - 2020-04-03 22:35 - 000000000 ____D C:\Program Files (x86)\GUM81BA.tmp
2020-04-03 10:30 - 2020-04-03 10:30 - 000000000 ____D C:\Users\Silvia\AppData\Local\Avg
2020-04-03 10:25 - 2020-04-03 20:06 - 000000000 ____D C:\ProgramData\AVG
2020-04-02 22:32 - 2020-04-03 01:47 - 000000298 _____ C:\windows\Tasks\GridinSoft Anti-Malware.job
2020-04-02 22:31 - 2020-04-03 20:11 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2020-04-02 22:31 - 2020-04-02 22:31 - 000000000 ____D C:\ProgramData\GridinSoft
2020-04-02 22:30 - 2020-04-03 20:12 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
2020-04-02 22:26 - 2020-04-02 22:26 - 000873360 _____ (GridinSoft LLC) C:\Users\Silvia\Downloads\GridinsoftAntimalwareSetup.exe
2020-04-02 21:03 - 2020-04-02 21:03 - 000000000 ____D C:\ProgramData\{04C9DB65-CA85-A95B-5E3D-DADD0C3A3A39}
2020-04-02 20:14 - 2020-04-02 20:14 - 006455520 _____ (EnigmaSoft Limited) C:\Users\Silvia\Downloads\SpyHunter-Installer (2).exe
2020-04-02 19:54 - 2020-04-02 20:12 - 000000000 ____D C:\Users\Silvia\AppData\Local\f36b8218-8d34-4b45-9f14-9b413919ef74
2020-04-02 18:42 - 2020-04-02 19:53 - 000000000 ____D C:\Users\Silvia\AppData\Local\a4d0756c-bef0-4082-b499-a997d57b5d10
2020-04-02 15:15 - 2020-04-03 10:32 - 000000000 ____D C:\windows\SysWOW64\mdxhosqg
2020-04-02 15:09 - 2020-04-02 15:28 - 003253190 _____ C:\Users\Silvia\Downloads\aTube_Catcher_4116030618.exe.mado
2020-03-23 11:56 - 2020-04-02 15:32 - 011299046 _____ C:\Users\Silvia\Downloads\ZoomInstaller.exe.mado
2020-03-12 16:47 - 2020-03-12 16:47 - 000000000 ____D C:\Users\Silvia\AppData\Local\{20D8F1E0-6E7C-4B83-860E-04F3068195F4}
2020-04-02 20:21 - 2015-12-20 00:06 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dr Prot Antivirus
2020-04-02 15:43 - 2019-01-30 23:52 - 001292506 ____H C:\Users\Invitado\AppData\Local\IconCache.db.mado
2020-04-02 15:32 - 2019-10-14 22:02 - 004542486 _____ C:\Users\Silvia\Downloads\RadiAnt-5.0.2-Setup.exe.mado
2020-04-02 15:32 - 2019-06-15 12:35 - 049890230 _____ C:\Users\Silvia\Downloads\Setup.exe.mado
2020-04-02 15:32 - 2019-01-21 15:53 - 005473934 _____ C:\Users\Silvia\Downloads\recuva-1-53-1087.exe.mado
2020-04-02 15:32 - 2015-05-21 00:07 - 005576968 _____ C:\Users\Silvia\Downloads\npp.5.9.Installer.exe.mado
2020-04-02 15:28 - 2019-06-27 20:55 - 000228878 _____ C:\Users\Silvia\Downloads\avast_free_antivirus_setup_online.exe.mado
2020-04-02 15:28 - 2018-10-29 19:04 - 039501055 _____ C:\Users\Silvia\Downloads\Craniofacial Pain - H. Piekartz (Elsevier, 2007) WW.pdf.crdownload.mado
2020-04-02 15:28 - 2017-09-06 23:24 - 002285926 _____ C:\Users\Silvia\Documents\winrar-x64-540es.exe.mado
2020-04-02 15:28 - 2017-07-04 18:56 - 001202518 _____ C:\Users\Silvia\Downloads\flashplayer26pp_xa_install.exe.mado
2020-04-02 15:28 - 2016-12-19 19:38 - 000016688 ____H C:\Users\Silvia\Documents\~WRL3396.tmp.mado
2020-04-02 15:28 - 2016-12-11 20:21 - 000118722 _____ C:\Users\Silvia\Downloads\5CAA.tmp.mado
2020-04-02 15:28 - 2016-09-12 00:44 - 000016731 ____H C:\Users\Silvia\Documents\~WRL0005.tmp.mado
2020-04-02 15:28 - 2016-04-01 21:06 - 000013795 ____H C:\Users\Silvia\Documents\~WRL2437.tmp.mado
2016-12-17 12:36 - 2016-12-17 12:36 - 007680000 _____ () C:\Program Files (x86)\GUTAC02.tmp
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} =>  -> Ningún archivo
ContextMenuHandlers1: [Baidu_Scan] -> [CC]{0A93904A-BB1E-4a0c-9753-B57B9AE272CB} =>  -> Ningún archivo
ContextMenuHandlers2: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Ningún archivo
ContextMenuHandlers6: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Ningún archivo
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
MSCONFIG\startupreg: RRJVYSR4O6WXHT2 => "C:\Program Files\8UYDOGEHY9\8UYDOGEHY.exe"
FirewallRules: [TCP Query User{27FAAE41-41BE-43DA-8A01-C4625E40BB72}D:\easysetupassistant\easysetupassistant.exe] => (Allow) D:\easysetupassistant\easysetupassistant.exe Ningún archivo
FirewallRules: [UDP Query User{D6838BA3-06E4-4C8B-A86E-03F585CA5384}D:\easysetupassistant\easysetupassistant.exe] => (Allow) D:\easysetupassistant\easysetupassistant.exe Ningún archivo
FirewallRules: [TCP Query User{15A63724-382D-423C-8D68-7FA2E2E3AA20}D:\easysetupassistant\tssh2.exe] => (Allow) D:\easysetupassistant\tssh2.exe Ningún archivo
FirewallRules: [UDP Query User{EE185765-F42E-4E0F-9E16-56E8B9B35AE2}D:\easysetupassistant\tssh2.exe] => (Allow) D:\easysetupassis
FirewallRules: [TCP Query User{A88924A8-2402-4F44-9552-AC26D3175FEB}C:\program files (x86)\pc remote receiver1\pcremotereceiver.exe] => (Allow) C:\program files (x86)\pc remote receiver1\pcremotereceiver.exe Ningún archivo
FirewallRules: [UDP Query User{B6D85801-02EF-4C81-8051-15A80ACC2F5F}C:\program files (x86)\pc remote receiver1\pcremotereceiver.exe] => (Allow) C:\program files (x86)\pc remote receiver1\pcremotereceiver.exe Ningún archivo
FirewallRules: [TCP Query User{94DC313A-7C59-45BE-A9CD-A631F3463980}C:\program files (x86)\pc remote receiver1\monectmediacenter.exe] => (Allow) C:\program files (x86)\pc remote receiver1\monectmediacenter.exe Ningún archivo
FirewallRules: [UDP Query User{E33C42BC-2870-4DE8-A919-682384ECF4E9}C:\program files (x86)\pc remote receiver1\monectmediacenter.exe] => (Allow) C:\program files (x86)\pc remote receiver1\monectmediacenter.exe Ningún archivo
FirewallRules: [{1A628C10-52C5-4F4D-BA3D-1DE5AD9BBB2B}] => (Allow) C:\Users\Silvia\AppData\Roaming\Zoom\bin\airhost.exe Ningún archivo
C:\Program Files\GridinSoft Anti-Malware

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2

EXCELENTE! MIL GRACIAS!!: adjunto el archivo Fixlog.txt (26,1 KB)

Una pregunta, si es posible, o que recomiendan en cuanto seguridad.es probable que al haberme hackeado hayan tenido acceso a todo el registro con claves inclusives? y como puedo ver que no me haya quedado ninugun puerto abierto. Muchas gracias

Hola @Nestor_Bautista

En realidad la encriptación de archivos no es exactamente un Hackeo, pero de todas maneras luego de una gran infección, siempre es conveniente cambiar claves, especialmente de Correos y Homebanking.

Ya con FRST revisamos ese punto y se restablecieron o eliminaron entradas ya no validas de tu Firewall.

Solo decirte que revises tu carpeta Downloads (Descargas) ya que tienes muchos archivos encriptados allí también.

Para eliminar las herramientas utilizadas:

Descargas/Ejecutas >> Delfix, desde tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Nos comentas si todo esta en orden para dar por Solucionado el tema.

Salu2.

Muchas gracias, aparentemente esta todo bien. Puedo entrar a las paginas que no podia, reinicio bien. los nuevos archivos ya no se encriptan. MUCHISIMAS GRACIAS!!

1 me gusta

Hola @Nestor_Bautista

Gracias a ti por confiar en Forospyware!!

Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.

1 me gusta