Super infección con un extraño mensaje

Eliminar Malwares
15

Hola

No descargaste y ejecutaste FRST desde el escritorio como te indiqué, muévelo allí si no fallará el paso siguiente.

:arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe( en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

A continuación :warning: con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKU\S-1-5-21-811658154-4134238313-3946999917-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.save-search.com/
SearchScopes: HKU\S-1-5-21-811658154-4134238313-3946999917-1000 -> DefaultScope {A8AE99AA-8F4F-4945-AB2C-BA5CA00580A1} URL = hxxp://www.save-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-811658154-4134238313-3946999917-1000 -> {A8AE99AA-8F4F-4945-AB2C-BA5CA00580A1} URL = hxxp://www.save-search.com/search?q={searchTerms}
CHR HomePage: Default -> hxxp://www.save-search.com/
"MBAMChameleon" => servicio no pudo ser desbloqueado. <==== ATENCIÓN
HKLM\SYSTEM\ControlSet002\Services\MBAMChameleon => \SystemRoot\System32\Drivers\MbamChameleon.sys <==== ATENCIÓN (Rootkit!/Servicio bloqueado)
2020-06-18 10:35 - 2020-06-18 10:39 - 000000000 ____D C:\ProgramData\d37301f97a
2020-06-18 10:35 - 2020-06-18 10:35 - 000000000 _____ C:\ProgramData\c51906dadd090eab302c587c52dd3ee9
2020-06-17 22:03 - 2020-06-17 22:03 - 000000000 ____D C:\Users\Carmen\AppData\LocalLow\cr6im03b56g32r
2020-06-17 22:03 - 2020-06-17 22:03 - 000000000 ____D C:\Users\Carmen\AppData\LocalLow\3098htrhpen8ifg0
2020-06-17 22:01 - 2020-06-17 22:03 - 000000000 ____D C:\Users\Carmen\AppData\LocalLow\JN3by345by53432y
2020-06-17 19:41 - 2020-06-17 19:47 - 000000000 ____D C:\Users\Carmen\AppData\Roaming\njgpq12jktc
2020-06-17 19:37 - 2020-06-17 19:37 - 000000000 ____D C:\ProgramData\K07CJ7ZJYWTOF040I8BW0FFKP
2020-06-17 19:36 - 2020-06-17 19:36 - 000000000 ____D C:\Users\Carmen\AppData\Local\18f63213-44b7-4aa7-b2de-e345797e7453
2020-06-17 19:35 - 2020-06-17 19:47 - 000000000 ____D C:\Users\Carmen\AppData\Roaming\pl0fqafq5fn
2020-06-17 19:34 - 2020-06-17 19:34 - 000000000 ____D C:\Users\Carmen\AppData\Roaming\indefendesv
2018-09-29 09:26 - 2019-11-05 11:34 - 000001025 _____ () C:\Users\Carmen\AppData\Local\oobelibMkey.log

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.


Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
  • Presionar el botón FIX/Corregir y aguardar a que termine.
  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo