Virus del "doble acento" o de la "doble tilde"

Buenas tardes,

¿Tú has instalado en tu ordenador los siguientes programas o te suenan: XAMPP, con Apache y Mysqld? SÏ, los he instalado.

¿Has permitido reglas de estos en el firewall?

¿Los descargaste del sitio oficial?

De momento parece que se ha solucionado tanto la doble tilde como el secuestro de navegador.

Muchas gracias por toda la ayuda.

Te pego el reporte.

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 28-04-2021
Ejecutado por Jose Manuel (28-04-2021 19:47:12) Run:1
Ejecutado desde C:\Users\Joas\Desktop
Perfiles cargados: defaultuser0 & Jose Manuel
Modo de Inicio: Normal
==============================================

fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133216 2017-03-23] (Wondershare Technology Co.,Ltd -> Wondershare)
GroupPolicyScripts: Restricción <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {1BF8E382-3EC6-49BE-805A-118510C81EB9} - no ruta de acceso de archivo
Task: {7EB06CD9-5DA4-489A-BB7E-AB0233323378} - no ruta de acceso de archivo
Task: {B04FA225-3FEF-439C-ADFD-D681D0758F7D} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
Task: {DC5B49E0-D343-4800-BCFA-0B457C124C94} - \Microsoft\Windows\RemoteApp and Desktop Connections Update\Microsoft.Windows.Dt.PolicyEngineApi.Interop.ni -> Ningún archivo <==== ATENCIÓN
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
CHR Extension: (wUpdateMovie) - C:\ProgramData\Cgnzo\Cuqwrtj [2021-03-14]
S3 WsDrvInst; C:\Program Files (x86)\Wondershare\Video Converter Ultimate\Transfer\DriverInstall.exe [107624 2018-12-06] (Wondershare Technology Co.,Ltd -> Wondershare)
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
2021-04-22 10:14 - 2021-03-14 06:28 - 000000000 ___HD C:\ProgramData\Cgnzo
2017-01-13 19:46 - 2017-01-13 19:46 - 000000001 _____ () C:\Users\Joas\AppData\Local\llftool.4.25.agreement
2018-09-28 15:05 - 2018-09-28 15:05 - 000000000 _____ () C:\Users\Joas\AppData\Local\oobelibMkey.log
ShortcutWithArgument: C:\Users\Joas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Cgnzo\Cuqwrtj\66388F25"
ShortcutWithArgument: C:\Users\Joas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Cgnzo\Cuqwrtj\66388F25"
HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"
C:\Program Files (x86)\Common Files\Wondershare
C:\Program Files (x86)\Wondershare\
C:\Program Files (x86)\Enigma Software Group
File: C:\WINDOWS\WMSysPr8.prx
VirusTotal: C:\WINDOWS\WMSysPr8.prx
Folder: C:\Users\Joas\AppData\Roaming\HSOxjhuuFZ
File: C:\Users\Joas\Downloads\9ee7854df6946440edb6512176e2a884.psd
VirusTotal: C:\Users\Joas\Downloads\9ee7854df6946440edb6512176e2a884.psd
File: C:\Users\Joas\Downloads\Pinocho-2020.mkv.torrent
VirusTotal: C:\Users\Joas\Downloads\Pinocho-2020.mkv.torrent
Folder: C:\Users\Joas\AppData\Local\rdclientwpf
Folder: C:\Users\Joas\AppData\Roaming\ktLowyrXQTFV
File: C:\Users\Joas\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
File: C:\ProgramData\BrokerGround\8D_ement_FIJE.dll
VirusTotal: C:\ProgramData\BrokerGround\8D_ement_FIJE.dll
Folder: C:\ProgramData\BrokerGround
ExportKey: HKU\S-1-5-21-3306602120-4223622763-3950894931-1001\...\StartupApproved\Run: => "50474737"

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************

El punto de restauración fue creado correctamente.
Procesos cerrados correctamente.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe" => no encontrado
C:\WINDOWS\system32\GroupPolicy\Machine => movido correctamente
C:\WINDOWS\system32\GroupPolicy\GPT.ini => movido correctamente
HKLM\SOFTWARE\Policies\Google => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1BF8E382-3EC6-49BE-805A-118510C81EB9}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1BF8E382-3EC6-49BE-805A-118510C81EB9}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{7EB06CD9-5DA4-489A-BB7E-AB0233323378}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7EB06CD9-5DA4-489A-BB7E-AB0233323378}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B04FA225-3FEF-439C-ADFD-D681D0758F7D}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B04FA225-3FEF-439C-ADFD-D681D0758F7D}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager" => no encontrado
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{DC5B49E0-D343-4800-BCFA-0B457C124C94}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DC5B49E0-D343-4800-BCFA-0B457C124C94}" => eliminado correctamente
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\RemoteApp and Desktop Connections Update\Microsoft.Windows.Dt.PolicyEngineApi.Interop.ni" => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\BookReader_B171F20233094AC88D05A8EF7B9763E8 => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => eliminado correctamente
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => eliminado correctamente
CHR Extension: (wUpdateMovie) - C:\ProgramData\Cgnzo\Cuqwrtj [2021-03-14] => Error: Ninguna corrección automática encontrada para esta entrada.
WsDrvInst => servicio no encontrado.
HKLM\System\CurrentControlSet\Services\esgiguard => eliminado correctamente
esgiguard => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\Partizan => eliminado correctamente
Partizan => servicio eliminado correctamente
C:\ProgramData\Cgnzo => movido correctamente
C:\Users\Joas\AppData\Local\llftool.4.25.agreement => movido correctamente
C:\Users\Joas\AppData\Local\oobelibMkey.log => movido correctamente
C:\Users\Joas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => Acceso directo argumento eliminado correctamente
C:\Users\Joas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => Acceso directo argumento eliminado correctamente
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\\Wondershare Helper Compact.exe" => eliminado correctamente
"HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe" => no encontrado
"C:\Program Files (x86)\Common Files\Wondershare" => no encontrado
C:\Program Files (x86)\Wondershare => movido correctamente
C:\Program Files (x86)\Enigma Software Group => movido correctamente

========================= File: C:\WINDOWS\WMSysPr8.prx ========================

C:\WINDOWS\WMSysPr8.prx
Archivo no firmado
MD5: EA3ECB92A2EA3A42273CB3B308CA1A5B
Fecha de creación y modificación: 2021-04-12 20:44 - 2003-05-21 22:50
Tamaño: 000156910
Atributos: ----A
Nombre de la compañía: 
Interno Nombre: 
Original Nombre: 
Producto: 
Descripción: 
Archivo Versión: 
Producto Versión: 
Copyright: 
VirusTotal: https://www.virustotal.com/gui/file/20cb37e704bd7762ead3397a6e565b3f65b170d4bede30a22aca9f8a7a19e614/detection/f-20cb37e704bd7762ead3397a6e565b3f65b170d4bede30a22aca9f8a7a19e614-1589174058

====== Final de File: ======

VirusTotal: C:\WINDOWS\WMSysPr8.prx => (3) Error

========================= Folder: C:\Users\Joas\AppData\Roaming\HSOxjhuuFZ ========================

2021-03-27 13:07 - 2021-03-27 04:08 - 000908800 ____A [F7C96FC888FF05107BD94D687A678E10] () C:\Users\Joas\AppData\Roaming\HSOxjhuuFZ\Avvelenate.xlsx
2021-03-27 13:07 - 2021-03-27 04:08 - 000943871 ____A [6FA7E3A4E1E01E906B3206297886ABCC] () C:\Users\Joas\AppData\Roaming\HSOxjhuuFZ\Oricellari.xlsx
2021-03-27 13:08 - 2021-03-27 04:08 - 000513397 ____A [8C1968102DE98F61E0DFBA6FBCA7D23A] () C:\Users\Joas\AppData\Roaming\HSOxjhuuFZ\R
2021-03-27 13:07 - 2021-03-27 04:08 - 000114896 ____A [FEB2E2EB3D7E902FDB18B3C4585ED947] () C:\Users\Joas\AppData\Roaming\HSOxjhuuFZ\Sfinge.xlsx
2021-03-27 13:07 - 2021-03-27 04:08 - 000513397 ____A [8C1968102DE98F61E0DFBA6FBCA7D23A] () C:\Users\Joas\AppData\Roaming\HSOxjhuuFZ\Sogni.xlsx

====== Final de Folder: ======


========================= File: C:\Users\Joas\Downloads\9ee7854df6946440edb6512176e2a884.psd ========================

C:\Users\Joas\Downloads\9ee7854df6946440edb6512176e2a884.psd
Archivo no firmado
MD5: EE07B51B835AF3C6866A1149CA351CFB
Fecha de creación y modificación: 2021-03-25 21:50 - 2021-03-25 21:50
Tamaño: 000673931
Atributos: ----A
Nombre de la compañía: 
Interno Nombre: 
Original Nombre: 
Producto: 
Descripción: 
Archivo Versión: 
Producto Versión: 
Copyright: 
VirusTotal: 0

====== Final de File: ======

VirusTotal: C:\Users\Joas\Downloads\9ee7854df6946440edb6512176e2a884.psd => (3) Error

========================= File: C:\Users\Joas\Downloads\Pinocho-2020.mkv.torrent ========================

C:\Users\Joas\Downloads\Pinocho-2020.mkv.torrent
Archivo no firmado
MD5: 01DB4766B4B85A6ED92C523A0CA693CB
Fecha de creación y modificación: 2021-03-24 22:35 - 2021-03-24 22:35
Tamaño: 000123079
Atributos: ----A
Nombre de la compañía: 
Interno Nombre: 
Original Nombre: 
Producto: 
Descripción: 
Archivo Versión: 
Producto Versión: 
Copyright: 
VirusTotal: 0

====== Final de File: ======

VirusTotal: C:\Users\Joas\Downloads\Pinocho-2020.mkv.torrent => (3) Error

========================= Folder: C:\Users\Joas\AppData\Local\rdclientwpf ========================

2020-03-17 18:40 - 2021-04-28 16:53 - 000003156 ____A [E4698218E3AEB708E8F679AB8A4BAB56] () C:\Users\Joas\AppData\Local\rdclientwpf\ISubscription.json
2020-03-17 18:40 - 2021-04-28 16:53 - 000000002 ____A [D751713988987E9331980363E24189CE] () C:\Users\Joas\AppData\Local\rdclientwpf\ISubscription.json.bkp
2020-10-25 15:17 - 2020-10-25 15:17 - 000000000 ____D [00000000000000000000000000000000] () C:\Users\Joas\AppData\Local\rdclientwpf\d2c2266a-ca7b-4bcf-8ed8-20b619f7a463
2020-10-25 15:17 - 2020-03-17 18:42 - 000056137 ____A [1753F9BCE663FF81F565E4F2E1C28236] () C:\Users\Joas\AppData\Local\rdclientwpf\d2c2266a-ca7b-4bcf-8ed8-20b619f7a463\6dde1c38-a357-400a-02d0-08d7c447224a.Ico
2020-10-25 15:17 - 2020-03-17 18:42 - 000001527 ____A [17EE08CB522FA6AD21DFC2AC8B533857] () C:\Users\Joas\AppData\Local\rdclientwpf\d2c2266a-ca7b-4bcf-8ed8-20b619f7a463\6dde1c38-a357-400a-02d0-08d7c447224a.Png
2020-10-25 15:17 - 2020-10-25 17:54 - 000015706 ____A [B4BA8B90F3F2577FA15DA9777F743062] () C:\Users\Joas\AppData\Local\rdclientwpf\d2c2266a-ca7b-4bcf-8ed8-20b619f7a463\6dde1c38-a357-400a-02d0-08d7c447224a.rdp

====== Final de Folder: ======


========================= Folder: C:\Users\Joas\AppData\Roaming\ktLowyrXQTFV ========================

2021-03-14 04:08 - 2021-03-13 00:34 - 000112452 ____A [107C3D032D7DE4493E5B888864CEF4A4] () C:\Users\Joas\AppData\Roaming\ktLowyrXQTFV\Assorto.ppam
2021-03-14 04:08 - 2021-03-13 00:34 - 000012289 ____A [EA05EAA5B7D31D473A039C7ED11EBA09] () C:\Users\Joas\AppData\Roaming\ktLowyrXQTFV\Chiamando.avi
2021-03-14 04:08 - 2021-03-13 00:34 - 000623657 ____A [8476F54B7624779E5FF5993565CB81FD] () C:\Users\Joas\AppData\Roaming\ktLowyrXQTFV\Soffri.vsd
2021-03-14 04:08 - 2021-03-13 00:34 - 000943868 ____A [1EF30403178F2CDF547938A2E972071A] () C:\Users\Joas\AppData\Roaming\ktLowyrXQTFV\Stasera.adt
2021-03-14 04:08 - 2021-03-13 00:34 - 000939008 ____A [D29ECD6481C9367149D0C25BD6F8E33F] () C:\Users\Joas\AppData\Roaming\ktLowyrXQTFV\Sue.m4a

====== Final de Folder: ======


========================= File: C:\Users\Joas\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========================

C:\Users\Joas\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
Archivo no firmado
MD5: B52BD0F0A338A0CEDD8C8CC6CCDDD8F2
Fecha de creación y modificación: 2017-09-10 23:09 - 2017-09-12 20:01
Tamaño: 000008192
Atributos: ----A
Nombre de la compañía: 
Interno Nombre: 
Original Nombre: 
Producto: 
Descripción: 
Archivo Versión: 
Producto Versión: 
Copyright: 
VirusTotal: 0

====== Final de File: ======


========================= File: C:\ProgramData\BrokerGround\8D_ement_FIJE.dll ========================

C:\ProgramData\BrokerGround\8D_ement_FIJE.dll
Archivo no firmado
MD5: 81C197ABD111F2D7E3B65518B75AD67D
Fecha de creación y modificación: 2019-10-09 08:15 - 2019-05-15 00:09
Tamaño: 000206848
Atributos: ----A
Nombre de la compañía: 
Interno Nombre: 8D_ement_FIJE.dll
Original Nombre: 8D_ement_FIJE.dll
Producto: 
Descripción:  
Archivo Versión: 0.0.0.0
Producto Versión: 0.0.0.0
Copyright:  
VirusTotal: 0

====== Final de File: ======

VirusTotal: C:\ProgramData\BrokerGround\8D_ement_FIJE.dll => (3) Error

========================= Folder: C:\ProgramData\BrokerGround ========================

2019-10-09 08:15 - 2019-05-15 00:09 - 012058624 ____A [8BF2AA2B097715910F1FF31164F8CE12] () C:\ProgramData\BrokerGround\15dc0723.msi
2019-10-09 08:15 - 2019-05-15 00:09 - 000206848 ____A [81C197ABD111F2D7E3B65518B75AD67D] () C:\ProgramData\BrokerGround\8D_ement_FIJE.dll
2019-10-09 08:15 - 2019-05-15 00:09 - 014528940 ____A [49B892A169818B4523B678A68CEFACAA] () C:\ProgramData\BrokerGround\AdobeFangsongStd-Regular.otf
2019-10-09 08:15 - 2019-05-15 00:09 - 012264148 ____A [2DF65BA52CCC1C92505862D02F16391C] () C:\ProgramData\BrokerGround\AdobeHeitiStd-Regular.otf
2019-10-09 08:15 - 2019-05-15 00:09 - 016951792 ____A [42DD2FE6AEC4DD880291877D9E3E58E1] () C:\ProgramData\BrokerGround\AdobeKaitiStd-Regular.otf
2019-10-09 08:15 - 2019-05-15 00:09 - 010174084 ____A [FCBC8A166353AEA7A1F8FD93BA7641E6] () C:\ProgramData\BrokerGround\AdobeMingStd-Light.otf
2019-10-09 08:15 - 2019-05-15 00:09 - 023275812 ____A [91F4475D007AA64DD9A0E79927F3D095] () C:\ProgramData\BrokerGround\ARIALUNI.TTF
2019-10-09 08:15 - 2019-05-15 00:09 - 002165050 ____A [FED2DD638451E9A38A3B28E20D4AA830] () C:\ProgramData\BrokerGround\LXMTws_Medbinef.dff
2019-10-09 08:15 - 2019-05-15 00:09 - 024546078 ____A [AB7BD688725B004A2687A3881F3EEAF7] () C:\ProgramData\BrokerGround\WindowsDefenderApplicationGuard.wim
2019-10-09 08:15 - 2019-05-15 00:09 - 000000000 ____A [D41D8CD98F00B204E9800998ECF8427E] () C:\ProgramData\BrokerGround\wmiys_Ujntld.r2d
2019-10-09 08:15 - 2019-05-15 00:09 - 029753344 ____A [FF5CFACBAA7697FE539F5FCE0EBDB120] () C:\ProgramData\BrokerGround\xlsvceb_Apmsvc.lisp

====== Final de Folder: ======

================== ExportKey: ===================

"HKU\S-1-5-21-3306602120-4223622763-3950894931-1001\...\StartupApproved\Run: => "50474737" => no encontrado

=== Final de ExportKey ===

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Ethernet mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local* 2 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local* 3 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local* 12 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Ethernet 2 mientras los medios
est‚n desconectados.

Adaptador de Ethernet Ethernet:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : homestation

Adaptador de LAN inal mbrica Conexi¢n de  rea local* 2:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de  rea local* 3:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Conexi¢n de  rea local* 12:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de Ethernet Ethernet 2:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de LAN inal mbrica Wi-Fi:

   Sufijo DNS espec¡fico para la conexi¢n. . : homestation
   V¡nculo: direcci¢n IPv6 local. . . : fe80::d178:dbd:864a:3d34%16
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.44
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : fe80::da61:94ff:fec6:582%16
                                       192.168.1.1

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

0 out of 0 jobs canceled.

========= Final de CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-3306602120-4223622763-3950894931-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-3306602120-4223622763-3950894931-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-3306602120-4223622763-3950894931-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-3306602120-4223622763-3950894931-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

BITS transfer queue => 13393920 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 40254156 B
Java, Flash, Steam htmlcache => 1168 B
Windows/system/drivers => 31634750 B
Edge => 16707476 B
Chrome => 288470444 B
Firefox => 10575097 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 19012 B
NetworkService => 19012 B
defaultuser0 => 26180 B
Joas => 68870312 B

RecycleBin => 76305593 B
EmptyTemp: => 521 MB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 19:48:47 ====

Hola, buenas @Josemnm

:+1: perfecto. Entonces ningún problema con esto.

:+1: perfecto. De todas formas debo asegurar que la máquina esta completamente límpia de malware.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

1) Descarga, instala y ejecuta ZHP Cleaner siguiendo su manual, lo descargas de aquí, instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

2) Realizas un análisis con Dr Web CureIt siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It de: Download Dr.Web CureIt! free of charge

:two: PRÓXIMA RESPUESTA

Pegas los reportes de ZHP Cleaner y Dr Web CureIt y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas tardes,

Te pego los reportes.

~ ZHPCleaner v2021.4.24.292 by Nicolas Coolman (2021/04/24)
~ Run by Jose Manuel (Administrator)  (29/04/2021 22:14:21)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Type : Reparar
~ Report : C:\Users\Joas\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Joas\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 19041)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Registro ( Claves, Valores, Datos) (1)
BORRADOS clave^: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player NPAPI Notifier []  =>Riskware.FlashPlayer


---\\  Resumen de elementos en su estación de trabajo (1)
https://nicolascoolman.eu/forum/Topic/flashplayer-logiciel-a-risque-riskware/  =>Riskware.FlashPlayer


---\\ Limpieza adicional. (13)
~ Clave de registro Tracing borrados (9)
~ Quitar los antiguos informes de ZHPCleaner. (4)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Mozilla Firefox OK
~ Internet Explorer OK
~ El sistema ha sido reiniciado.


---\\ STATISTIQUES
~ Items escaneado : 2178
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/17


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto
~ Iniciar navegadores con extensiones eliminadas





~ End of clean in 00h00mn19s

---\\  Reporte (2)
ZHPCleaner-[S]-29042021-22_11_08.txt
ZHPCleaner-[R]-29042021-22_14_40.txt

Segundo reporte. Te pego solo el final como indica el manual.

Si lo necesitas completo me dices.

Start curing
-----------------------------------------------------------------------------

E:\Descargas\Hide.me-Setup-3.2.0.exe - quarantined
E:\ORDENADOR ANTIGUO\DESCARGAS RECUPERADO\Downloads\advanced-systemcare\advanced-systemcare\OFCommon.dll - quarantined
G:\Users\Joas\Downloads\Hide.me-Setup-3.2.0.exe - quarantined

Total 2579908022428 bytes in 1239708 files scanned (1942346 objects)
Total 1239658 files (1941063 objects) are clean
Total 3 files are infected
Total 3 files are neutralized
Total 211 files (1273 objects) are raised error condition
Scan time is 03:21:37.256

Hola, buenas @Josemnm

Comenta como sigue el problema inicialmente planteado.

Respecto a ZHP Cleaner >> lo vuelves a descargar nuevamente (la versión más actual) y repites el procedimiento para este.

Respecto a Dr web Cure It >> OK, ha hecho lo que debía hacer.

Todo y que por lo que veo dice:

Total 211 files (1273 objects) are raised error condition

Así que en todo el reporte que es super extenso, busca en alguna parte que diga: Total 211 files are raised error condition o algo parecido y tendrían que acabar con la palabra read error.

Pues traes toda esa parte donde aparezcan los 211 archivos (será así o algo parecido en cuanto a los mensajes que indico).

Salu2.

Buenas tardes,

Este es el reporte:

~ ZHPCleaner v2021.5.1.293 by Nicolas Coolman (2021/05/01)
~ Run by Jose Manuel (Administrator)  (03/05/2021 22:43:19)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version KO
~ Type : Reparar
~ Report : C:\Users\Joas\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Joas\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 19041)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Registro ( Claves, Valores, Datos) (1)
BORRADOS clave^: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player NPAPI Notifier []  =>Riskware.FlashPlayer


---\\  Resumen de elementos en su estación de trabajo (1)
https://nicolascoolman.eu/forum/Topic/flashplayer-logiciel-a-risque-riskware/  =>Riskware.FlashPlayer


---\\ Limpieza adicional. (11)
~ Clave de registro Tracing borrados (11)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK
~ El sistema ha sido reiniciado.


---\\ STATISTIQUES
~ Items escaneado : 2179
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/17


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto
~ Iniciar navegadores con extensiones eliminadas





~ End of clean in 00h00mn19s

---\\  Reporte (5)
ZHPCleaner-[R]-29042021-22_14_40.txt
ZHPCleaner-[S]-03052021-19_54_17.txt
ZHPCleaner-[S]-03052021-22_00_02.txt
ZHPCleaner-[S]-29042021-22_11_08.txt
ZHPCleaner-[R]-03052021-22_43_38.txt

Respecto a Dr web Cure It las 211 líneas están mezcladas con el resto no separadas.

Tendré que ir filtrando línea por línea para poder pegar el reporte que me pides.

Tardaré un poco.

OK @Josemnm

ZHPCleaner >> :+1:

OK… Más que nada para descartar que ficheros son (seguro que están en uso por el sistema operativo).

¿Cómo notas el ordenador respecto al problema inicial planteado?

Salu2.

Buenas tardes,

Lo primero el PC funciona perfectamente y de momento no he vuelto a sufrir el virus.

Después de varios días separando las líneas que indicaba “Container” de las que decía “ok” creo que no se corresponden con las 211 líneas que e indica al final del reporte. Llevo apenas 1/4 del archivo de texto y ya tengo más de 300 líneas que indica “Container”.

Me equivoque al indicarte que estaban mezcladas ya que di por supuesto que serían las que indicaba “Container” y claramente algo no cuadra.

No se si me puedes indicar que tengo que buscar para poder pegarte esas 211 líneas.

Muchas gracias por todo y un saludo,

Hola, buenas @Josemnm

Ok perfecto… me alegro de que todo vaya mejor. :+1: :ok_hand:

Ok. Entendido.

He estado revisando todo tu caso rápidamente. Todo y que tu ordenador funciona perfectamente :+1:. Quiero logs frescos de FRST. Más que nada quiero validar una cosa.

Ejecutas FRST y me traes ambos logs como bien ya sabes.

Salu2.