Virus del “doble acento” o de la “doble tilde”

primera parte

https://www.virustotal.com/gui/file/ba7eb4ea028496489b85337f72534bc2231ebdb3130e80ae5a943000526881bd/detection https://www.virustotal.com/gui/file/aafe7745b6fac2e725adaad8ad2db813c60ecaf2c094d7c740ac57c5041a9b62/detection https://www.virustotal.com/gui/file/3f584185cbc4a1e7421cad4d53f81cd479fea89d8749d3db85195c2c75a4f253/detection

SystemLook.txt

SystemLook 30.07.11 by jpshortstuff
Log created at 20:41 on 02/06/2021 by Aldo
Administrator - Elevation successful

========== dir ==========

C:\Program Files (x86)\StoryMessage - Parameters: "/s /md5"

---Files---
ContactsLog.txt	--a---- 1983186 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 837F8271F047CC76342EA1527BE4AF74
CRWindowsClientService.exe.2984.dmp	--a---- 812975 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] E697CE1E17E00853A74056483007BA77
CRWindowsClientService.exe.5924.dmp	--a---- 837783 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] E7B3FD9A613C12BA323BADAEBD3C1DD9
CRWindowsClientService.exe.7152.dmp	--a---- 820363 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 2FC9768FAECA117810562A490F676EA4
CRWindowsClientService.exe.7604.dmp	--a---- 826255 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] CF9ACCBDC220AD3750B6076F28431340
Curve_Editor_Plugin_for_iClone_Trial.exe	--a---- 1745451 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 81FFC52C8B0204F4538F759F5D6D3F2D
dmrc.idx	--a---- 828312 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 9947037724E858F79AD9C2EB9DF909F4
explorer.exe.2244.dmp	--a---- 649198 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 6B14DE237A1319F58EA40567B99A4A97
FaceThumbs.fd1	--a---- 1687552 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] DF3C6FA577FB331916860291CE14C58B
i_view32.exe.6588.dmp	--a---- 693829 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 36237606FCF5D13A169FE7A90F637CE2
logStartup.txt	--a---- 736275 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] D4CAC9B7A0BA8E25539EB074A3E7C5BC
PopcornFX_Plugin_for_iClone_Trial.exe	--a---- 2914107 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] BC0B0E0C5541C637B372849AAA8650AD
Reallusion_HUB.exe	--a---- 2384570 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 584B2327485FF00FA514DBDEDF32B84F
SageThumbs.db3	--a---- 2097480 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] E7CB793504BA9C9C73AE2977148C8AAB
Update.exe	--a---- 1526024 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 9CAF0BC503E214E2ECFEF2E8A7201FAE
WindowsMail.MSMessageStore	--a---- 2113536 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] 60A19AD79A55C4F7E41090F5F5A2FDEA
Zemana.AntiMalware.Portable.trace	--a---- 786432 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] C6558C8E369C411E4D32F591A08BBF01

C:\Program Files (x86)\StoryMessage\RxotVogump	dr-hs--	[00:28 11/05/2016]

========== filefind ==========

Searching for "*Wdfeb_Msnag410f*"
C:\FRST\Quarantine\C\Program Files (x86)\StoryMessage\RxotVogump\Wdfeb_Msnag410f.dll.xBAD	--a---- 253952 bytes	[00:28 11/05/2016]	[20:36 19/12/2015] E8A7C23855166FD7C8763F4452482841

========== folderfind ==========

Searching for "*RxotVogump*"
C:\FRST\Quarantine\C\Program Files (x86)\StoryMessage\RxotVogump	d------	[02:35 23/05/2021]
C:\Program Files (x86)\StoryMessage\RxotVogump	dr-hs--	[00:28 11/05/2016]

Searching for "*StoryMessage*"
C:\FRST\Quarantine\C\Program Files (x86)\StoryMessage	d------	[02:35 23/05/2021]
C:\Program Files (x86)\StoryMessage	d------	[00:28 11/05/2016]

-= EOF =-

Hola, buenas @unnicknamed

Referente los 3 ficheros subidos a VirusTotal con los enlaces que me has pasado y la información que he obtenido a partir de estos, los he investigado más a fondo y no los tendremos que eliminar.

Sube estos ficheros a VirusTotal:

C:\Program Files (x86)\StoryMessage\dmrc.idx
C:\Program Files (x86)\StoryMessage\explorer.exe.2244.dmp
C:\Program Files (x86)\StoryMessage\FaceThumbs.fd1
C:\Program Files (x86)\StoryMessage\SageThumbs.db3
C:\Program Files (x86)\StoryMessage\Update.exe

Y me traes los correspondientes análisis. Para ello adjuntas la dirección web/URL en tu próxima respuesta. Una para cada fichero (en total 5).

:one: DESCARTAR RESTOS

  • Reinicias el ordenador en Modo Normal.

  • Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

  • Descargas SystemLook_32_bits o SystemLook_64_bits en tu escritorio en función de la arquitectura de tu sistema operativo.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

Copias y pegas los códigos/líneas que están en el interior del recuadro de más abajo, dentro de la propia ventana del programa y pulsas en Look.

:dir
C:\Program Files (x86)\StoryMessage\RxotVogump /s /md5 

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

  • Esperas a que finalice la búsqueda de posibles restos del programa en cuestión. Puede tardar un buen rato así que lo dejas hasta que finalice.

  • Cuando finalice, en el ESCRITORIO se creará el fichero llamado SystemLook.txt lo traes en tu próxima respuesta.

  • Activas nuevamente tu antivirus y cualquier programa de seguridad que tuvieses activado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

P.D.: Comentas como funciona el ordenador en general.

https://www.virustotal.com/gui/file/15324f5f67edb0b04a1a63820b285fc11ebaa150abe41d343d21efa88aa28fdb/detection https://www.virustotal.com/gui/file/c3dcb0f5f00621993d38adfe4c9db2f4297e06817bc73c90174ebc87af75d8e8/detection https://www.virustotal.com/gui/file/018dd7a8d4c9bb9f1097938d0da947caba255081b78f4a6575dacbbfe76d3402/detection https://www.virustotal.com/gui/file/b560c4915dbd35ee3c1234387df9161d53910545e92d4aaa391df89b6c55e9b3/detection https://www.virustotal.com/gui/file/e2d4c5a1cdbd96d21403c374b0de55cd1e7919abcb1b0d0817735b5c31e4d505/detection

cuando dicen esto es para asegurarse que no esta en algún otro modo o se tiene que reiniciar obligatoriamente para que funcione (por los archivos temporales y/u otras cosas que no entiendo)?

Hola, buenas @unnicknamed

Disculpa que no haya sido quizás muy específico en este punto.

Sí, para asegurarme de que no está en ningún otro Modo. Si ya lo tienes en Modo Normal, pues simplemente haces lo que te dije y ya esta.

Salu2.

perdón, pensé que ya lo había pegado}}

SystemLook.txt

SystemLook 30.07.11 by jpshortstuff
Log created at 13:23 on 08/06/2021 by Aldo
Administrator - Elevation successful

========== dir ==========

C:\Program Files (x86)\StoryMessage\RxotVogump - Parameters: "/s /md5 "

---Files---
None found.

No folders found.

-= EOF =-

Hola, buenas @unnicknamed

:zero: PREGUNTAS

Miras lo que hay en la siguiente carpeta: C:\Program Files (x86)\StoryMessage\RxotVogump

¿Hay algo? ¿Esta vacia? ¿Tiene ficheros o carpetas ocultos? ¿Hay algo?

:one: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\Program Files (x86)\StoryMessage\RxotVogump
C:\Program Files (x86)\StoryMessage\dmrc.idx
C:\Program Files (x86)\StoryMessage\Zemana.AntiMalware.Portable.trace

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

no sé
el directorio C:\Program Files (x86)\StoryMessage sí está pero no puedo abrir la carpeta RxotVogump, me sale un cuadro que dice acceso denegado

Ok :+1: @unnicknamed pues con esta nueva información que me das. No ejecutes el anterior Script. Si no que ejecutarás el nuevo que te pongo en este mismo mensaje. Pues tiene una pequeña pero importante modificación.

:zero: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Unlock: C:\Program Files (x86)\StoryMessage\RxotVogump
Folder: C:\Program Files (x86)\StoryMessage\RxotVogump
C:\Program Files (x86)\StoryMessage\dmrc.idx
C:\Program Files (x86)\StoryMessage\Zemana.AntiMalware.Portable.trace

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

FIXLOG.TXT

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 12-06-2021
Ejecutado por Aldo (12-06-2021 11:33:47) Run:3
Ejecutado desde C:\Users\Aldo\Desktop
Perfiles cargados: Aldo & Invitado
Modo de Inicio: Normal
==============================================

fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Unlock: C:\Program Files (x86)\StoryMessage\RxotVogump
Folder: C:\Program Files (x86)\StoryMessage\RxotVogump
C:\Program Files (x86)\StoryMessage\dmrc.idx
C:\Program Files (x86)\StoryMessage\Zemana.AntiMalware.Portable.trace

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
*****************

El punto de restauración fue creado correctamente.
Procesos cerrados correctamente.
"C:\Program Files (x86)\StoryMessage\RxotVogump" => fue desbloqueado

========================= Folder: C:\Program Files (x86)\StoryMessage\RxotVogump ========================

2016-05-10 19:28 - 2015-12-19 15:36 - 000007968 ____A [758180006F177664FFA61FB0E7A63795] () C:\Program Files (x86)\StoryMessage\RxotVogump\590aee7bdd69b59b.customDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 000018958 ____A [588ADFC777028C43BF50CA4D1EC5E8FD] () C:\Program Files (x86)\StoryMessage\RxotVogump\5afe4de1b92fc382.customDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 000005404 ____A [6D5263DDBC267D07A5675750E6A23A30] () C:\Program Files (x86)\StoryMessage\RxotVogump\6824f4a902c78fbd.customDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 000011004 ____A [853B23AE3760CB82599E02151FCD73EE] () C:\Program Files (x86)\StoryMessage\RxotVogump\7ccecd38939fe579.customDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 000201216 ____A [71EAB5F4D394010923038A88C83164F5] () C:\Program Files (x86)\StoryMessage\RxotVogump\9b9cdc69c1c24e2b.automaticDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 000008010 ____A [7FBF16F1E635D2A0BF315F762B6FC8C6] () C:\Program Files (x86)\StoryMessage\RxotVogump\a03a7d9a70f19b26.customDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 074776576 ____A [4E9CF616E44013A58537A87770B8CE3C] () C:\Program Files (x86)\StoryMessage\RxotVogump\aoasokt_oost.igc
2016-05-10 19:28 - 2015-12-19 15:36 - 000130971 ____A [9C458DC02890BC39ABE0035FEC0CE8FF] () C:\Program Files (x86)\StoryMessage\RxotVogump\appicon.ico
2016-05-10 19:28 - 2015-12-19 15:36 - 000022090 ____A [8EC7C27BA00A32A9ED77062A7D50A5E4] () C:\Program Files (x86)\StoryMessage\RxotVogump\avast5.ini
2016-05-10 19:28 - 2015-12-19 15:36 - 000005794 ____A [EF68C24CDB3A669E8C06E514BF9F650C] () C:\Program Files (x86)\StoryMessage\RxotVogump\b84ce9b3d597c0ea.customDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 000009225 ____A [072454C0FB6867FA0AA2E8CDFA3826C0] () C:\Program Files (x86)\StoryMessage\RxotVogump\be71009ff8bb02a2.customDestinations-ms
2016-05-10 19:28 - 2015-12-19 15:36 - 004328852 ____A [69A70D4DDDEC68AD65FFA718E626BB37] () C:\Program Files (x86)\StoryMessage\RxotVogump\CatCache.dat
2016-05-10 19:28 - 2015-12-19 15:36 - 000024496 ____A [120706CCDC14F69A400BA917F8F8EBCB] () C:\Program Files (x86)\StoryMessage\RxotVogump\db_storage.dat
2016-05-10 19:28 - 2015-12-19 15:36 - 008023266 ____A [E438B38DF4D7424FC81D0254D31D64F2] () C:\Program Files (x86)\StoryMessage\RxotVogump\db1ccf55dd502148d-1e2048ab.dat
2016-05-10 19:28 - 2015-12-19 15:36 - 012013584 ____A [E87598CDC6F05A13C026816DE6F00ADF] () C:\Program Files (x86)\StoryMessage\RxotVogump\events00.rbs
2016-05-10 19:28 - 2015-12-19 15:36 - 006375342 ____A [186AE3D31D9299306109327B8390EFA8] () C:\Program Files (x86)\StoryMessage\RxotVogump\events01.rbs
2016-05-10 19:28 - 2015-12-19 15:36 - 000503316 ____A [7BD4B6EC1CCB67D8E758E44274F1FD3C] () C:\Program Files (x86)\StoryMessage\RxotVogump\events10.rbs
2016-05-10 19:28 - 2015-12-19 15:36 - 001509949 ____A [0E2DA7C4D2F4E80391E419B0EA10B0EE] () C:\Program Files (x86)\StoryMessage\RxotVogump\events11.rbs
2016-05-10 19:28 - 2015-12-19 15:36 - 000851968 ____A [07FEB319C5159BB64FE47DAD642EEE9C] () C:\Program Files (x86)\StoryMessage\RxotVogump\ExoArcade-1.mp4
2016-05-10 19:28 - 2015-12-19 15:36 - 003513344 ____A [0FA571F9614B02E96F735703E1C90053] () C:\Program Files (x86)\StoryMessage\RxotVogump\Fw.db
2016-05-10 19:28 - 2015-12-19 15:36 - 000016384 ____A [2D79EDEC446F35FDC3C22BF93057B99F] () C:\Program Files (x86)\StoryMessage\RxotVogump\G68WLNUKAGPG6SMOAVKV.temp
2016-05-10 19:28 - 2015-12-19 15:36 - 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\Program Files (x86)\StoryMessage\RxotVogump\GZTVm_Dxnt5.st4
2016-05-10 19:28 - 2015-12-19 15:36 - 017337187 ____A [27770124C27CD6F017EEB5697398CF76] () C:\Program Files (x86)\StoryMessage\RxotVogump\HYUNG.mp4
2016-05-10 19:28 - 2015-12-19 15:36 - 000013856 ____A [791D704CE09DF5F7A058131543E32092] () C:\Program Files (x86)\StoryMessage\RxotVogump\IDP.ini
2016-05-10 19:28 - 2015-12-19 15:36 - 000020480 ____A [901D93C51A7E9A991A3FDB1CE0E063B8] () C:\Program Files (x86)\StoryMessage\RxotVogump\J32016EC9VSRUIUGSSHY.temp
2016-05-10 19:28 - 2015-12-19 15:36 - 002242458 ____A [108B1E9908284D8526FB9F2B2B35FC9C] () C:\Program Files (x86)\StoryMessage\RxotVogump\kkdI_Xsm32.kzc
2016-05-10 19:28 - 2015-12-19 15:36 - 005257216 ____A [7157F941D244DEA39B69689458A33A63] () C:\Program Files (x86)\StoryMessage\RxotVogump\Log.db
2016-05-10 19:28 - 2015-12-19 15:36 - 001234427 ____A [0E1C3F7FA3F0A8BD0C68269252ED1F2B] () C:\Program Files (x86)\StoryMessage\RxotVogump\lsdb2.json
2016-05-10 19:28 - 2015-12-19 15:36 - 001234427 ____A [0E1C3F7FA3F0A8BD0C68269252ED1F2B] () C:\Program Files (x86)\StoryMessage\RxotVogump\lsdb2.json.old
2016-05-10 19:28 - 2015-12-19 15:36 - 000074113 ____A [DF7F70A6156C8DA77EDC2CD2B1324152] () C:\Program Files (x86)\StoryMessage\RxotVogump\nssCurrent.log
2016-05-10 19:28 - 2015-12-19 15:36 - 000115574 ____A [FAF9096660CDA2743E1AB9D17D5EDC7A] () C:\Program Files (x86)\StoryMessage\RxotVogump\nssOld.log
2016-05-10 19:28 - 2015-12-19 15:36 - 001608059 ____A [2830E6885B2AD0B039FA842A7CFABD46] () C:\Program Files (x86)\StoryMessage\RxotVogump\NvNetService.log
2016-05-10 19:28 - 2015-12-19 15:36 - 000014540 ____A [BA4D921DADD885356D73CD65B14EC872] () C:\Program Files (x86)\StoryMessage\RxotVogump\nvstreamsvcCurrent.log
2016-05-10 19:28 - 2015-12-19 15:36 - 000019986 ____A [D20F5F988AA1C2B8DC99A8BA8706FCFB] () C:\Program Files (x86)\StoryMessage\RxotVogump\nvstreamsvcOld.log
2016-05-10 19:28 - 2015-12-19 15:36 - 000016384 ____A [612303F9F035C7C04C9B0D919C362E09] () C:\Program Files (x86)\StoryMessage\RxotVogump\PEIEPC02K3BO7V0B79G3.temp
2016-05-10 19:28 - 2015-12-19 15:36 - 000012288 ____A [A01B0D116F9F4A45491BD197BE87FB8B] () C:\Program Files (x86)\StoryMessage\RxotVogump\PJA7QVM83T771LDWX4HK.temp
2016-05-10 19:28 - 2015-12-19 15:36 - 000020480 ____A [83D042F0B35C8C1FD8D9C69B9626DE66] () C:\Program Files (x86)\StoryMessage\RxotVogump\QZHH0NWYHEQVXJSQJQA1.temp
2016-05-10 19:28 - 2015-12-19 15:36 - 001068497 ____A [1354F3F40DB642972115D605E5EA8290] () C:\Program Files (x86)\StoryMessage\RxotVogump\Resource.dat
2016-05-10 19:28 - 2015-12-19 15:36 - 001068497 ____A [F0953380B8FC25CE5109BDCE970D017D] () C:\Program Files (x86)\StoryMessage\RxotVogump\Resource.old
2016-05-10 19:28 - 2015-12-19 15:36 - 000012049 ____A [2B448A42DD822A3A78523142DB27D453] () C:\Program Files (x86)\StoryMessage\RxotVogump\SSASCurrent.log
2016-05-10 19:28 - 2015-12-19 15:36 - 000013942 ____A [F0EF7D51E6E582D916C39444D3C1E728] () C:\Program Files (x86)\StoryMessage\RxotVogump\SSASOld.log
2016-05-10 19:28 - 2015-12-19 15:36 - 000074803 ____A [4E3FB51DA0C692CF2E756F5C18E3F97D] () C:\Program Files (x86)\StoryMessage\RxotVogump\swh_stats.json
2016-05-10 19:28 - 2015-12-19 15:36 - 000075032 ____A [82BAA2927AE3059327D11C883AF408FD] () C:\Program Files (x86)\StoryMessage\RxotVogump\swh_stats.proc
2016-05-10 19:28 - 2015-12-19 15:36 - 002628182 ____A [6324586AA0498D0D60F1EE00D99CEFCD] () C:\Program Files (x86)\StoryMessage\RxotVogump\tokens.dat
2016-05-10 19:28 - 2015-12-19 15:36 - 000241664 ____A [17C38135530A646924CFFBE2F9EE4583] () C:\Program Files (x86)\StoryMessage\RxotVogump\TUProgMan.10.tudb
2016-05-10 19:28 - 2015-12-19 15:36 - 000716800 ____A [E0DA0BD69CEB5CB1B510BFA238C83352] () C:\Program Files (x86)\StoryMessage\RxotVogump\TUProgManagerCache.10.tudb
2016-05-10 19:28 - 2015-12-19 15:36 - 000884736 ____A [2142544FF136E69463364D2BDA28B200] () C:\Program Files (x86)\StoryMessage\RxotVogump\URL.db
2016-05-10 19:28 - 2015-12-19 15:36 - 000040997 ____A [805EC7E82F50CF273FA1D6F647654F8E] () C:\Program Files (x86)\StoryMessage\RxotVogump\V Live Backstage Interview SP.vtt
2016-05-10 19:28 - 2015-12-19 15:36 - 012031587 ____A [3FADD5DCB323FED9D73FD33E29A36481] () C:\Program Files (x86)\StoryMessage\RxotVogump\V Live Backstage Interview.mp4
2016-05-10 19:28 - 2015-12-19 15:36 - 000039368 ____A [D1622A6DA270D92D4861183EC3C0F752] () C:\Program Files (x86)\StoryMessage\RxotVogump\V Live Backstage Interview.vtt
2016-05-10 19:28 - 2015-12-19 15:36 - 000077423 ____A [B7F393255B4648455027948240B8314D] () C:\Program Files (x86)\StoryMessage\RxotVogump\VAIOGateDefault.ico
2016-05-10 19:28 - 2015-12-19 15:36 - 000007152 ____A [BCACAB46211A225A03F69F0786EB38AB] () C:\Program Files (x86)\StoryMessage\RxotVogump\webofile_Symdr.8by

====== Final de Folder: ======

C:\Program Files (x86)\StoryMessage\dmrc.idx => movido correctamente
C:\Program Files (x86)\StoryMessage\Zemana.AntiMalware.Portable.trace => movido correctamente

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Conexi¢n de red inal mbrica 2 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de red inal mbrica mientras los medios
est‚n desconectados.

Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica 2:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de red inal mbrica:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de Ethernet Conexi¢n de  rea local:

   Sufijo DNS espec¡fico para la conexi¢n. . : 
   Direcci¢n IPv6 . . . . . . . . . . : 2806:104e:4:cfef::2
   Direcci¢n IPv6 . . . . . . . . . . : 2806:104e:4:cfef:b44e:a858:f068:4bd3
   Direcci¢n IPv6 . . . . . . . . . . : fdb0:875:730b:f900:b44e:a858:f068:4bd3
   Direcci¢n IPv6 temporal. . . . . . : 2806:104e:4:cfef:9829:a3be:f318:d1ac
   Direcci¢n IPv6 temporal. . . . . . : fdb0:875:730b:f900:9829:a3be:f318:d1ac
   V¡nculo: direcci¢n IPv6 local. . . : fe80::b44e:a858:f068:4bd3%11
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.67
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : fe80::1%11
                                       192.168.1.254

Adaptador de t£nel isatap.{87564972-9E5A-4321-8257-4943BE219920}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel Conexi¢n de  rea local*:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{B235C8FB-C8C8-4FB1-92AA-BE5F45BDA3C3}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{D5E0AFEC-74F9-4011-85D9-BD44B2B0867B}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel Conexi¢n de  rea local* 20:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

0 out of 0 jobs canceled.

========= Final de CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Interfaz se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-1562237412-835404634-1912169428-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-1562237412-835404634-1912169428-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 19660196 B
Java, Flash, Steam htmlcache => 291 B
Windows/system/drivers => 2247505 B
Edge => 0 B
Chrome => 609358047 B
Firefox => 1105307032 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Aldo => 15320536 B
TEMP => 15320536 B
UpdatusUser => 15320536 B
Invitado => 15320536 B

RecycleBin => 0 B
EmptyTemp: => 1.7 GB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 11:35:18 ====

Hola, buenas @unnicknamed

Disculpa que haya tardado tanto en responder, pues últimamente dispongo de muy poco tiempo para dedicarle al foro.

Ya he revisado el log, ya falta muy poco. En principio no hay nada raro. Pero en tu particular caso quiero que realices estos dos análisis. Si sale todo correcto. Ya habremos finalizado. De todas formas Yo deberé de ver dichos análisis y darles el visto bueno.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Realizas un análisis con Dr Web CureIt siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It de: https://www.infospyware.com/Software/click.php?id=41

:two: PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Dr Web CureIt y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Eset Online Scaner

19/06/2021 13:35:17 p.m.
Archivos explorados: 1011019
Archivos detectados: 6
Archivos desinfectados: 4
Tiempo total de exploración 08:02:24
Estado de la exploración: Finalizado
C:\Documents and Settings\Aldo\AppData\Roaming\BitTorrent\updates\7.10.5_45967.exe	una variante de Win32/uTorrent.E aplicación potencialmente no deseada	desinfectado por eliminación

C:\Documents and Settings\Aldo\AppData\Roaming\BitTorrent\BitTorrent.exe	una variante de Win32/uTorrent.E aplicación potencialmente no deseada	desinfectado por eliminación

C:\FRST\Quarantine\C\Program Files (x86)\StoryMessage\RxotVogump\Wdfeb_Msnag410f.dll.xBAD	una variante de MSIL/Agent.UNV troyano	desinfectado por eliminación

C:\Program Files\AVAST Software\Avast\setup\asw1FDD.tmp	Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura	error al eliminando (Acceso denegado)

C:\Program Files\AVAST Software\Avast\setup\aswOfferTool.exe	Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura	error al eliminando (Acceso denegado)

C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\amtlib.dll.DEL	Win32/HackTool.Crack.FE aplicación potencialmente no segura	desinfectado por eliminación

me falta el analisis del Dr Web CureIt, cuando lo tenga lo subo

1 me gusta

Dr Web CureIt

Total 49556573454 bytes in 103777 files scanned (109339 objects)
Total 103824 files (109307 objects) are clean
There are no infected objects detected
Total 31 files are raised error condition
Scan time is 00:45:39.789

decía que se iba a tardar como 6 horas, así que dejé la computadora sola y regresé una hora después y ya había terminado :thinking: :thinking: :thinking: lo vuelvo a correr?

Hola, buenas @unnicknamed

Disculpa que haya tardado tanto en responder, pues últimamente dispongo de muy poco tiempo para dedicarle al foro.

Respecto lo detectado por ESET:

C:\Program Files\AVAST Software\Avast\setup\asw1FDD.tmp	Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura	error al eliminando (Acceso denegado)

C:\Program Files\AVAST Software\Avast\setup\aswOfferTool.exe	Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura	error al eliminando (Acceso denegado)

Sube ambos archivos a VirusTotal como ya sabes. Estoy casi seguro de que son falsos positivos de ESET, pero quiero ver un poco más de información acerca de estos.

Respecto:

C:\FRST\Quarantine\C\Program Files (x86)\StoryMessage\RxotVogump\Wdfeb_Msnag410f.dll.xBAD una variante de MSIL/Agent.UNV troyano desinfectado por eliminación

No me preocupa, ya que era la dll maliciosa que contiene el Virus de la doble Tilde. Pero esta se encontraba a buen recaudo en la Cuarentena de FRST.

Respecto a:

C:\Documents and Settings\Aldo\AppData\Roaming\BitTorrent\updates\7.10.5_45967.exe	una variante de Win32/uTorrent.E aplicación potencialmente no deseada	desinfectado por eliminación

C:\Documents and Settings\Aldo\AppData\Roaming\BitTorrent\BitTorrent.exe	una variante de Win32/uTorrent.E aplicación potencialmente no deseada	desinfectado por eliminación

¿Descargaste el uTorrent de un sitio de dudosa procedencia?

No, no hace falta. Eso son tiempos aprox. y que pueden variar muy rápidamente (en poco tiempo). El reporte de Dr Web CureIT esta límpio. Todo y que por lo que veo dice:

Total 31 files are raised error condition

Así que en todo el reporte que es superextenso, busca en alguna parte que diga: Total 31 files are raised error condition o algo parecido y tendrían que acabar con la palabra read error.

Pues traes toda esa parte donde aparezcan los 31 archivos (será así o algo parecido en cuanto a los mensajes que indico).

Salu2.