Virus doble tilde. Otro con el mismo problema

Buenas noches.

Les cuento que desde hace varios días me estoy peleando con este dichoso malware.

Leí los hilos similares, me baje varias de las aplicaciones que recomiendan, pero no hay caso, así que, finalmente opto por molestarlos a ver si me pueden dar una mano.

Antes que nada les cuento lo que ya hice y les paso los reportes:

  1. EsetOnLine: Resultados ESET ONLINE SCANER.txt (46,8 KB)

  2. Kaspersky:

  3. CCleaner: Importante: Pese a que corro el aplicativo sin ninguna ventana de crome abierta, al correr el programa me pide en primer lugar cerrarlo y luego, cuando no puede, me pide forzar el cierre. Estuve viendo en el administrador de tareas e, incluso cuando se supone que Crome no está abierto veo que hay varias instancias del crome en funcionamiento. Por ejemplo en este momento, que escribo este post y solo tengo esta única ventana de crome abierta, para el sistema hay 22 instancias (adjunto imagen):

Otra curiosidad cuando corro el aplicativo es que no me resuelve uno de los problemas (ver imagen):

Lo encuentra, le doy solucionar y pareciera que lo resuelve, pero si vuelvo a buscar problemas, ese en particular sigue apareciendo

  1. Malwarebytes: Resultados Malwarebytes.txt (3,4 KB) Tardó casi 26 hs en ejecutarse. Supongo que el malware no ayudó :frowning:

  2. AdwCleanner: Resultados AdwCleanner.txt (2,1 KB)

  3. UsbFix_2020: UsbFix_Report.txt (8,1 KB)

Si bien al correr el Malwarebytes pareciera que se corrige, aproximadamente a los 20 minutos / media hora vuelvo a tener el malware activoa. Por lo que veo en los reportes el problema está (por lo menos en parte) en la carpeta C:\Programdata\Ammrk (adjunto imagen)

Probé también borrar esa carpeta manualmente (justo antes de apagar el equipo) y cuando lo vuelvo a prender no está, pero al rato vuelve a aparecer. Aparentemente esa carpeta está relacionada con una extensión de Crome (tiene sentido por la cantidad de instancias que se me están ejecutando permanentemente) llamada wNetHome. Intenté eliminarla, deshabilitarla y cambiarle los parámetros (y apagar el equipo después de cada intento, pero no hay caso, la extensión vuelve a instalarse, la carpeta a crearse y el doble acento a “molestar” (Se que no solo molesta, sino que está intentando robarme passwords, por lo que estoy tratando de no usar este equipo, pero prefiero intentar solucionar el problema, si se puede, antes de formatear el disco)

Bueno, explicado el problema quedo a la espera para ver si me pueden ayudar de alguna manera (y agradezco de antemano lo que puedan hacer).

Saludos.

Hola, buenas @1Matute bienvenido al foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

  1. Respecto EsetOnLine >> OK. ¿Conectaste varios dispositivos externos durante el análisis para que estos también fuesen analizados?

  2. Respecto Kaspersky >> OK. ¿Conectaste varios dispositivos externos durante el análisis para que estos también fuesen analizados?

Por lo que he visto entiendo que sí en ambos casos. Pero me lo confirmas.

  1. Respecto Malwarebytes >> veo que ha detectado 10 amenazas, pero que estas no han sido eliminadas. Aparte lo que comentas ha tardado tanto el tiempo de análisis por el siguiente motivo:

De todas formas sí que quiero comentarte que el Análisis con este tardo tanto, ya que marcaste la opción de Rootkits (por lo que veo en el log). Pues puede hacer que el programa se cuelgue y no finalice el análisis o hacer que este tarde muchísimo (como lo ha sido en tu caso). Aparte, hay mejores formas de buscar Rootkits en una máquina y en tu caso no creo que tengas este tipo de malware como tal.

  1. Respecto AdwCleaner >>> esta limpio.

OK. Tranquilo sí que podremos quitarlo. Probablemente deberemos de usar FRST. Y sí… este tipo de malware en función de la versión que te haya tocado puede hacer cosas como las que dices de las password y otras muchas.

Respóndeme a esas preguntas y ahora, en otro post. Te mando ejecutar nuevamente MALWAREBYTES. Pues en el procedimiento que hiciste, no mandaste las 10 amenazas a Cuarentena. Ya que sale con sin acciones…:

Trojan.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Firefox Default Browser Agent B90E32EC44B8D173, Sin acciones por parte del usuario, 540, 945893, , , , , , 
Trojan.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{01374257-2581-48EA-95BD-0DA47A5BDD4B}, Sin acciones por parte del usuario, 540, 945893, , , , , , 
Trojan.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{01374257-2581-48EA-95BD-0DA47A5BDD4B}, Sin acciones por parte del usuario, 540, 945893, , , , , , 
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E, Sin acciones por parte del usuario, 2694, 940996, , , , , , 
Trojan.BrowserHijack, C:\PROGRAMDATA\AMMRK\WDBYO, Sin acciones por parte del usuario, 2694, 940996, 1.0.41271, , ame, , , 
Trojan.Downloader, C:\WINDOWS\SYSTEM32\TASKS\Firefox Default Browser Agent B90E32EC44B8D173, Sin acciones por parte del usuario, 540, 945893, 1.0.41271, , ame, , A6FF92B4D764D9A581217CE025F94059, 5E699B60D50EDED5FE581DEB30F6D087B4CEA811D91D7475F0C6561D70B7F952
Trojan.BrowserHijack, C:\PROGRAMDATA\AMMRK\WDBYO\22C09C4E\BACKGROUND.JS, Sin acciones por parte del usuario, 2694, 940996, 1.0.41271, , ame, , 7C38B69693DB661B7AA425E04C7CBAD2, FBEEBA2743AD470474FCD7390AC39B484DC0735BD2745D491DCCC1CC857297AA
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E\icon128.png, Sin acciones por parte del usuario, 2694, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E\manifest.json, Sin acciones por parte del usuario, 2694, 940996, , , , , 4E86FE6BC5B6C0A02CF5E2E131F686C1, E71233841B07E68D1BE9EDFCD1F7D0C36D533FDA6F19FCD1AC9F3037DBA0A4D7
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E\tuuoc, Sin acciones por parte del usuario, 2694, 940996, , , , , A8485F047B9CC50605DD14E755834CFC, 2F5C5DFBFA84F27B912206B1E916CF2E307649046F1EB0B4AEBC32A14C0A042A

Probablemente lo tengamos que matar con FRST, pero antes haremos lo que te digo con el Malwarebytes.

Salu2.

1 me gusta

Hola, buenas nuevamente @1Matute

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas el reporte de Malwarebytes y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de amos Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

Buenas a ti también y gracias por contestar tan rápido.

Respecto a las políticas ya las había leído, pero aproveché para darles una segunda lectura (por las dudas), así que dalas por conocidas.

En cuanto a tus dos primeras preguntas, SI, en ambos casos el chequeo se hizo tanto sobre el disco principal (C:) como sobre el disco duro portátil que siempre está conectado a este equipo (I:)

En lo referido al MalwareBytes, saqué el reporte antes de mandar a cuarentena (y después borrar) las 10 amenazas. Te paso el reporte actualizado:
Resultados Malwarebytes (BIS).txt (3,2 KB)

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 3/6/21
Hora del análisis: 19:50
Archivo de registro: 28909096-c4be-11eb-aefa-244bfe7d3bc0.json

-Información del software-
Versión: 4.4.0.117
Versión de los componentes: 1.0.1308
Versión del paquete de actualización: 1.0.41271
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18363.1556)
CPU: x64
Sistema de archivos: NTFS
Usuario: Casa-Escritorio\Matías

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 672098
Amenazas detectadas: 10
Amenazas en cuarentena: 10
Tiempo transcurrido: 25 hr, 51 min, 11 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
Trojan.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Firefox Default Browser Agent B90E32EC44B8D173, En cuarentena, 540, 945893, , , , , , 
Trojan.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{01374257-2581-48EA-95BD-0DA47A5BDD4B}, En cuarentena, 540, 945893, , , , , , 
Trojan.Downloader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{01374257-2581-48EA-95BD-0DA47A5BDD4B}, En cuarentena, 540, 945893, , , , , , 

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E, En cuarentena, 2694, 940996, , , , , , 
Trojan.BrowserHijack, C:\PROGRAMDATA\AMMRK\WDBYO, En cuarentena, 2694, 940996, 1.0.41271, , ame, , , 

Archivo: 5
Trojan.Downloader, C:\WINDOWS\SYSTEM32\TASKS\Firefox Default Browser Agent B90E32EC44B8D173, En cuarentena, 540, 945893, 1.0.41271, , ame, , A6FF92B4D764D9A581217CE025F94059, 5E699B60D50EDED5FE581DEB30F6D087B4CEA811D91D7475F0C6561D70B7F952
Trojan.BrowserHijack, C:\PROGRAMDATA\AMMRK\WDBYO\22C09C4E\BACKGROUND.JS, En cuarentena, 2694, 940996, 1.0.41271, , ame, , 7C38B69693DB661B7AA425E04C7CBAD2, FBEEBA2743AD470474FCD7390AC39B484DC0735BD2745D491DCCC1CC857297AA
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E\icon128.png, En cuarentena, 2694, 940996, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E\manifest.json, En cuarentena, 2694, 940996, , , , , 4E86FE6BC5B6C0A02CF5E2E131F686C1, E71233841B07E68D1BE9EDFCD1F7D0C36D533FDA6F19FCD1AC9F3037DBA0A4D7
Trojan.BrowserHijack, C:\ProgramData\Ammrk\Wdbyo\22C09C4E\tuuoc, En cuarentena, 2694, 940996, , , , , A8485F047B9CC50605DD14E755834CFC, 2F5C5DFBFA84F27B912206B1E916CF2E307649046F1EB0B4AEBC32A14C0A042A

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Si igualmente hace falta ejecutarlo de nuevo (esta vez sin la opción Rootkits) no hay problema. Me avisas y lo corro.

Por las dudas voy bajando el FRST que veo voy a necesitar

Hola, buenas @1Matute

De nada.

:+1: perfecto.

:+1: perfecto.

:+1: perfecto.

Ok. No es necesario. Pues ya lo he visto y sí que vi que lo mandaste a cuarentena. Debemos tirar FRST ya que dicho tipo de malware tiene bastante persistencia y lo debemos eliminar con FRST.

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

Van los dos reportes. Primero el FRST: FRST.txt (46,3 KB)

y luego el Addition: Addition.txt (54,2 KB)

Pasándotelos como archivos entran ambos en un único post. Me pareció que era más práctico. Pero si para analizarlos te resulta más cómodo que te los pase por CODE en varios post no hay problema. Todavía que le estas dedicando tiempo a mi problema no te voy complicar la vida!

OK. Perfecto no hay problema.

Mejor así. Los analizo y en poco te cuento.

Salu2.

Cuando puedas. Tomate el tiempo que necesites. Yo estaré por aquí.

Saludos.

1 me gusta

Hola, buenas @1Matute

:zero: PREGUNTAS

¿Tú has instalado en tu ordenador los siguientes programas o te suenan? Son estos:

GPFBP V1400 - R3 (HKLM-x32\...\ST5UNST #2) (Version:  - )
S.I.Ap. (HKLM-x32\...\ST5UNST #1) (Version:  - )
Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== ATENCIÓN

:one: DESINSTALACIÓN PROGRAMAS

Si los programas que mencionado anteriormente, no los reconoces y tú no los has instalado en tu ordenador.

Los puedes quitar. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Quitas los programas citados anteriormente, que encuentre Revo. Si fuese el caso en como te he dicho.

Pues en tu caso tienes instalados los siguientes:

GPFBP V1400 - R3 (HKLM-x32\...\ST5UNST #2) (Version:  - )
S.I.Ap. (HKLM-x32\...\ST5UNST #1) (Version:  - )
Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== ATENCIÓN

Estos deben de quedar completamente desinstalados.

:two: DESINSTALACIÓN EXTENSIONES

Para las extensiones en que te diga puedes quitarlas. Estas son: la extensión llamada vFlowSoft y también la nfedoihopcjdfjihhhojdclnfdgomdho.

Hazlo así tal y como se indica en el siguiente enlace: https://www.howtogeek.com/140464/how-to-manually-uninstall-a-globally-installed-chrome-extension/

:three: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\Program Files (x86)\Picexa
Folder: C:\ProgramData\Ammrk\Uaevmq
Folder: C:\ProgramData\Ammrk
Folder: C:\Program Files (x86)\AW Manager
Folder: C:\Users\Matías\AppData\Roaming\dvdcss
Folder: C:\Users\Matías\AppData\Local\625edb88-e251-496e-970d-8baa1dea4a53
Folder: C:\Users\Matías\AppData\Local\{8B469074-9A35-4237-80AB-094237A1A1B1}
Folder: C:\SAVEGAME
Folder: C:\Program Files (x86)\Origin
Folder: C:\467bf4382de8dae938b80d4e54f8c4
Folder: C:\Users\Matías\AppData\Local\61c1b884-3182-4231-b18d-e24f9f4c087b
Folder: C:\Users\Matías\AppData\Roaming\Serian
Folder: C:\SystemID
Folder: C:\ProgramData\Windows Host
File: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
File: C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._windows_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._misc_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._html2.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_ctypes.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_elementtree.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_hashlib.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_multiprocessing.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_psutil_windows.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_socket.pydC:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_ssl.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_yappi.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\bz2.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\common.time34.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\hashobjs_ext.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\PIL._imaging.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pyexpat.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pysqlite2._sqlite.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pythoncom27.dll;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pywintypes27.dll;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\select.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\thumbnails_ext.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\unicodedata.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\usb_ext.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32api.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32com.shell.shell.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32crypt.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32event.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32file.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32gui.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32inet.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32pdh.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32pipe.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32process.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32profile.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32security.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32ts.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.conditional.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.connectivity.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.device_monitor.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.volumes.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.winwrap.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._controls_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._core_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._gdi_.pyd
File: C:\Users\Matías\AppData\Local\script.ps1;C:\System.sav;C:\Users\Matías\Downloads\41a1e84c__blood-bowl-ii.zip;C:\WINDOWS\system32\uwfcfgmgmt.dll
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\MountPoints2: {4b0de3c8-6603-11e8-bf3e-7427ead0cead} - "J:\setup.exe" 
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\MountPoints2: {c7011605-a516-11e9-bf82-7427ead0cead} - "K:\Autorun.exe" 
Task: {014F484B-16FF-4B00-98CC-540355D050C3} - System32\Tasks\{E23EEEC2-DEA8-4483-9217-EDFFD8CC8E88} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe"
Task: {033DA1BB-A7DB-4BCB-B3EE-1DAA6A9DFA7F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Ningún archivo <==== ATENCIÓN
Task: {081A6BEE-BB2B-4EBA-A342-D24FF54B77BA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Ningún archivo <==== ATENCIÓN
Task: {0D7819CC-AF00-44C4-82D5-62B8EDD6317E} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe [1010800 2021-05-07] (Microleaves LTD -> AW Manager) <==== ATENCIÓN
Task: {1A1D4E7D-9A05-4D3D-9F7C-2ADD2909A169} - System32\Tasks\AdvancedWindowsManager #1 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {27337237-9B8E-4BFB-8548-098583004802} - System32\Tasks\AdvancedWindowsManager #6 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {2E236535-F43B-4AD8-97E1-00D68AC4AF6A} - System32\Tasks\AdvancedWindowsManager #4 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {35D403D8-CB95-4799-A5E0-A2C134BB11F7} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
Task: {3B78A505-916F-44B3-8FDB-BB14C5A76D8D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Ningún archivo <==== ATENCIÓN
Task: {3C564E81-4241-414A-A9FD-7D2B241E3767} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Ningún archivo <==== ATENCIÓN
Task: {3CCB67B0-5C95-4DC8-8955-39225C2E03C4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Ningún archivo <==== ATENCIÓN
Task: {5286977A-1992-4E46-B43D-0BC68990FFD1} - \WPD\SqmUpload_S-1-5-21-824706290-3614823676-1698890305-1005 -> Ningún archivo <==== ATENCIÓN
Task: {7EB771BB-3BEC-49C2-9D81-9CACF0C1EAF2} - System32\Tasks\AdvancedWindowsManager #3 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {A2696BC6-37BB-4F4D-A779-6DF66914D383} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Ningún archivo <==== ATENCIÓN
Task: {ABF29ADD-5E51-4142-B4F5-06BFF8F9742E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Ningún archivo <==== ATENCIÓN
Task: {ACD8A441-285A-47E7-BFB1-00D7137F22EE} - System32\Tasks\AdvancedWindowsManager #5 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {B9A598C9-425C-4480-AEC9-5CDC45D6A81C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Ningún archivo <==== ATENCIÓN
Task: {BF2F8768-0BD7-48E3-8D84-27217CC955AC} - System32\Tasks\AdvancedWindowsManager #2 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {C924D6B8-CBEC-48E6-AF38-D26849BECB76} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Ningún archivo <==== ATENCIÓN
Task: {DD1E6B84-58BC-4BDD-8F8A-131488947AE6} - System32\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update\microsoft-windows-ndows-system-xstate-l1-1-0 => rundll32 C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll,mjxop_Sezbripy_AzRolel
Task: {E0BD8DDC-075B-457A-B461-F4B520FFAA6C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Ningún archivo <==== ATENCIÓN
Task: {F4D7965C-4DB2-459E-918B-10BA8B73BDEC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Ningún archivo <==== ATENCIÓN
Task: {F59DFFBA-C7D9-4D93-A53D-625A3553AE83} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Ningún archivo <==== ATENCIÓN
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
ProxyEnable: [S-1-5-21-824706290-3614823676-1698890305-1004] => Proxy está habilitado.
ProxyServer: [S-1-5-21-824706290-3614823676-1698890305-1004] => http=127.0.0.1:14006;https=127.0.0.1:14006
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
CHR Extension: (wNetHome) - C:\ProgramData\Ammrk\Uaevmq [2021-06-04]
CHR HKU\S-1-5-21-824706290-3614823676-1698890305-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nfedoihopcjdfjihhhojdclnfdgomdho]
2021-06-04 22:06 - 2021-06-04 22:06 - 000000000 ___HD C:\ProgramData\Ammrk
2021-06-02 19:16 - 2021-06-02 19:16 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2021-05-31 19:48 - 2021-05-31 19:51 - 000010720 _____ C:\DT-kill.txt
2021-05-31 19:48 - 2021-05-31 19:48 - 000000000 ____D C:\_DT-Kill
2021-05-30 15:18 - 2021-05-30 15:18 - 000003932 _____ C:\WINDOWS\system32\Tasks\AdvancedUpdater
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #6
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #5
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #4
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #3
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #2
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #1
2021-05-30 15:18 - 2021-05-30 15:18 - 000000000 ____D C:\Program Files (x86)\AW Manager
2021-05-30 15:13 - 2021-05-30 15:13 - 000000000 ____D C:\Users\Matías\AppData\Local\NetSupport
2018-07-14 04:11 - 2017-11-25 15:55 - 000258048 _____ () [Archivo no firmado] [El archivo está en uso] C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
2021-05-30 15:14 - 2021-05-30 15:14 - 000000000 ____D C:\Users\Matías\AppData\Local\AdvinstAnalytics
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\Software\Classes\exefile:  <==== ATENCIÓN
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\Software\Classes\.exe: exefile =>  <==== ATENCIÓN
SearchScopes: HKU\S-1-5-21-824706290-3614823676-1698890305-1004 -> DefaultScope {FC73D04D-1DEB-4419-B8CB-33E82BB51229} URL = 
SearchScopes: HKU\S-1-5-21-824706290-3614823676-1698890305-1004 -> {460C3D19-B3D4-4964-A550-77D263B0CCCB} URL = 
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Ningún archivo)
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\StartupApproved\Run: => "Prun"
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\StartupApproved\Run: => "WinFlow"
C:\Program Files (x86)\Picexa
C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
C:\ProgramData\Ammrk\Uaevmq
C:\ProgramData\Ammrk

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenos días y perdón la demora en contestarte. NO se desde donde escribes tu, pero en Argentina ya era de noche :wink:

Respecto a los programas, El S.I.Ap si me suena, era el aplicativo que se usaba hasta hace un par de años para las declaraciones impositivas. De cualquier manera ya no se usa más y estas se hacen directamente en una página Web, así que puedo desinstalarlo. Los otros dos no me suenan, así que intento desinstalar los tres.

Como comentario, desde Crome no pude bajar el Revo, pero probé desde Firefox y no hubo problemas, No se si tendrá algo que ver con esa extensión que estaba molestando.

El GPFB no lo veo como opción a desinstalar, pero por el “ST5UNST” me da la impresión que es parte del mismo aplicativo impositivo. Espero que con la eliminación del S.I.Ap también se haya borrado (tengo claro que no es malware, aunque el tema de los impuestos… mejor dejémoslo ahí :wink:

Lo que se me está complicando es lo de las extensiones. De las tres opciones que presenta el documento que me pasaste no lo puedo resolver por ninguna (y no ayuda que sean versiones distintas de Windows) Es más la vFlowSoft ni siquiera la veo como para relacionarla con algún ID.

a) Panel de control: No figura ninguna de ambas extensiones

b) Windows Registry: llego hasta las extensiones, pero no veo la forma de descubrir el PATH de las mismas. Sin embargo, revisando las extensiones en modo desarrollador veo que las dos que hay en el registry son la del Acrobat y la del Malwarebytes, así que tampoco están allí. (adjunto imagen:

Perdón el tamaño pero estaba usando las dos pantallas para verificar las claves)

c) Buscando en las carpetas tampoco la veo. Aparentemente el ID de la extensión wNetHome es oojf…algo y ese archivo no existe en la carpeta indicada, tampoco el nfdo…etc y respeco al vFlowSoft no se cual sería su ID

Por otro lado no puede descargarme el DelFiX, ni en Crome ni en Firefox. En ambos casos, al hacer clik sobreel vínculo me da una pagina vacía (https://www.infospyware.com/Software/click.php?id=47) con el texto: “This ID doesn´t exist”

OK @1Matute tranquilo no pasa nada.

Ok. Respecto al S.I.Ap si te suena pues ningún problema :+1: Ya dejarlo o no es decisión tuya. Pero como entiendo que ya no lo usas… pues mejor quitarlo. Respecto a los otros dos debes de quitarlos, Ya que uno de ellos digamos que no es nuestro amigo…

OK. Bueno la extensión es maliciosa así que sí que puede afectar al funcionamiento del navegador. Pero no sé hasta que punto le podría afectar a esto.

OK bien. Sí, por lo que dices y lo que veo… probablemente (seguro estoy de ello) que forma parte del mismo aplicativo. Así que ya sabes.

Respecto lo de las extensiones… disculpa que se me va la cabeza… quería decir wNetHome. vFlowSoft ni caso, error mío.

Así que para el tema de las extensiones te centras solo en la wNetHome. Así que haces exactamente lo que ya has hecho, pero solo para la extensión de wNetHome.

Sí, eso es porque hace muy poco hemos actualizado descargas en nuestros servers y ya no está operativo ese enlace. Así que ahora lo bajas de:

  • Descargas DelFix en tu escritorio.

Realizas todo el resto del procedimiento. Traes el log de FRST y comentas como ha ido acerca de la extensión, de los programas desinstalados y como funciona el ordenador en general al problema inicial planteado.

Salu2.

Buenas nuevamente.

Antes que nada te cuento que la extensión la eliminé solo desde Crome (en la pagina de extensiones) dado que no figuraba en ninguno de los lugares que nombraba el documento que me habías pasado

Además te comento para bajar el DelFix tuve el mismo problema (no pude desde Crome, pero si desde Firefox). Pero una vez que lo bajé puede usarlo sin problemas.

Por lo menos por ahora parece que está todo OK. Aleluya!!! Que cómodo resulta poder escribir con acentos y sin usar los ALT !!!

Te paso el archivo como adjunto Fixlog.txt (90,0 KB) porque como CODE como lo pides, ocupa más de un mensaje (son algo así como 91.000 caracteres). De cualquier manera, si lo necesitas de esa manera lo copio, no hay problema.

Espero que no haga falta molestarte nuevamente. Si veo que en un par de horas no detecto nada raro pongo el tema como solucionado. Sino, lamentablemente, volveré a escribir :frowning:

Sea uno u otro caso, vuelvo a agradecer el tiempo que le estás dedicando.

Hola buenas @1Matute

Ok. Perfecto. Dependiendo del tipo de extensión maligna pues estas residen en algunos u otras partes. Como Yo no estoy dentro de tu máquina y no lo sé, por eso dije que siguieras todo el documento. Pues está claro de que en alguna u otra parte esta y al final lo que importa es matarla, no el como, sino en matarla.

OK. En otros logs miraremos más a fondo tus navegadores. Incluso si hace falta con otros procedimientos.

OK. Me alegro.

No, así Ya está bien y también me vale. Respecto al log lo he estado revisando y junto con la información que hay en este, quiero un par de logs nuevos y frescos de FRST para poderte dar los siguientes pasos. Pero vamos por buen camino.

Así que haces esto nuevamente:

Y traes:

OK. Bueno lo dicho arriba, tienes que volver, Ya que debo de darte algunas instrucciones más y asegurar que TODO ESTE OK. Así que el tema se acabará en cuanto Yo te lo diga, tranquilo y por eso no te preocupes. Tú solo ve siguiendo mis instrucciones y Ya esta.

De nada y te espero por aquí @1Matute

Salu2.

Listo. Perdoná la demora pero vi el post cuando estaba en la oficina (hoy tocaba trabajo presencial) y recién llego a casa.

Sigue todo bien (sin doble acento, sin extensiones raras y sin carpeta que no debe existir) y ya generé los nuevos reportes. Te los adjunto; FRST: FRST.txt (41,6 KB) y Addition: Addition.txt (45,7 KB)

Quedo a la espera de tus comentarios.

Saludos

Hola, buenas @1Matute he estado revisando tu caso y bueno… vayamos por partes.

:zero: PREGUNTAS

¿Tu sistema actualmente hace poco o en el pasado fue infectado por malware del tipo Ransomware?

¿Reconoces esta carpeta y fichero? >> C:\SystemID\PersonalID.txt

Abres el fichero de texto y me revelas que contenido sale en este. Pero estoy casi seguro de que es la típica nota prototipo de un RansomWare pidiendo :money_with_wings: :money_with_wings: :moneybag: :moneybag: para un rescate. Vamos o al menos tiene la pinta.

¿Te suena esta ID de extensión? >> lmjegmlicamnimmfhcmpkclmigmmcbeh

¿O te suena haber tenido o sigues teniendo esta extensión de CHROME? >> Google Drive App Launcher

Sube estos ficheros a VirusTotal para ello te recomiendo que sigas Manual VirusTotal:

C:\Users\Matías\Downloads\41a1e84c__blood-bowl-ii.zip
C:\WINDOWS\system32\uwfcfgmgmt.dll

Y me traes los correspondientes análisis. Para ello adjuntas la dirección web/URL en tu próxima respuesta. Una para cada fichero (en total 2).

:one: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas en este particular caso las casillas de Create registry backup y Activate UAC, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Task: {3935B5A6-6713-421A-B487-7DEBF56A7AED} - System32\Tasks\Microsoft\Windows\SideShow\GadgetManager => {FF87090D-4A9A-4F47-879B-29A80C355D61}
Task: {45D83144-A9FA-4395-85B7-F4361EAA0520} - System32\Tasks\Microsoft\Windows\SideShow\SessionAgent => {45F26E9E-6199-477F-85DA-AF1EDFE067B1}
Task: {D44824D0-4096-4AA5-8DA7-28B05ED7E0C8} - System32\Tasks\Microsoft\Windows\SideShow\SystemDataProviders => {7CCA6768-8373-4D28-8876-83E8B4E3A969}
Task: {9C2D5F90-0C0F-4A28-9C16-D7D3778969D6} - System32\Tasks\Microsoft\Windows\SideShow\AutoWake => {E51DFD48-AA36-4B45-BB52-E831F02E8316}
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
C:\Users\Matías\AppData\Local\625edb88-e251-496e-970d-8baa1dea4a53
C:\Users\Matías\AppData\Local\61c1b884-3182-4231-b18d-e24f9f4c087b
C:\Users\Matías\AppData\Roaming\Serian
C:\ProgramData\Windows Host
C:\Users\Matías\AppData\Local\script.ps1
Folder: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned
Folder: C:\Users\Matías\AppData\Local\ModelResult
Folder: C:\Users\Matías\AppData\Roaming\WinSupport
Folder: C:\MAPS
Folder: C:\WINDOWS\system32\FxsTmp
Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AFIP - Aplicaciones
File: C:\WINDOWS\System32\AutoWorkplace.exe
File: C:\WINDOWS\system32\DrtmAuth9.bin;C:\WINDOWS\system32\DrtmAuth8.bin;C:\WINDOWS\system32\DrtmAuth7.bin;C:\WINDOWS\system32\DrtmAuth6.bin;C:\WINDOWS\system32\DrtmAuth5.bin;C:\WINDOWS\system32\DrtmAuth4.bin;C:\WINDOWS\system32\DrtmAuth3.bin;C:\WINDOWS\system32\DrtmAuth2.bin;C:\WINDOWS\system32\DrtmAuth18.bin;C:\WINDOWS\system32\DrtmAuth17.bin;C:\WINDOWS\system32\DrtmAuth16.bin;C:\WINDOWS\system32\DrtmAuth15.bin;C:\WINDOWS\system32\DrtmAuth12.bin;C:\WINDOWS\system32\DrtmAuth11.bin;C:\WINDOWS\system32\DrtmAuth10.bin;C:\WINDOWS\system32\DrtmAuth1.bin

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

A grandes rasgos es todo un gran NO, no lo reconozco. Vamos por partes:

  • Infecciones por Ramsomware, creo que no, pero quizás no me di cuenta de ello

  • La carpeta y archivos no los reconozco, el contenido es solo una cadena de caracteres (lo que te agrego en itálicas) 1Nqrs2gV6nDybm0Hxp2nPSI0zvqEsWv5B6Zq99m4

  • La extensión con ese ID tampoco la ubico (y no coincide, creo, con la que tenía el wNetHome que tanto costó borrar)

  • La extensión de crome no la tengo y no recuerdo haberla instalado nunca.

Intenté analizar los ficheros en el VirusTotal, pero, en el caso del primero de ellos no me acepta subirlo, abriendo el zip veo que es solo un TXT, lo paso por la pagina y no tiene problemas. VirusTotal

Y en el caso del segundo, aparentemente tampoco hay nada raro. VirusTotal

Le paso el log del fix: Fixlog.txt (29,4 KB)

Y listo. Tu dirás si queda algo más para tocar.

Saludos

Hola, buenas @1Matute

Disculpa que haya tardado tanto en responder, pues últimamente dispongo de muy poco tiempo para dedicarle al foro.

OK.

Pues muy probablemente sí que hayas tenido en el pasado una infección por parte de algún RansomWare pues dicha carpeta no es legítima del sistema como tal. Y es el nombre típico de carpeta y tiene la ubicación típica y también de nombre de fichero de rescate de RansomWare típico. Así que si a todo esto le sumas: 1Nqrs2gV6nDybm0Hxp2nPSI0zvqEsWv5B6Zq99m4 seguro que en algún momento tuviste ransomware en tu máquina. Pues esto está claro que es una ID para… bueno mírate (solo mirar o leer) mejor esta página web: Remove HETS Ransomware Virus (2021 Decryption Guide) | Geek's Advice

OK. Ya nos encargamos de buscarla después si es el caso de una mejor forma.

OK. Después ya tomaré decisión sobre este.

OK. Después ya tomaré decisión sobre este.

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. En la ventana principal del programa esta vez deberás de tener en cuenta en que debes de marcar la casilla de 90 Days Files o Archivos 90 días, según el idioma.

  4. Presionas sobre Analizar/Scan y esperas a que finalice el análisis.

  5. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

:three: Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

:four: PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Entendido todo lo que me comentas.

Van los resultados del FSRT - FRST.txt (38,6 KB), Addition.txt (54,2 KB) - y espero tus comentarios

Saludos

Hola, buenas @1Matute

Disculpa que haya tardado tantísimo en responder, pues últimamente dispongo de muy poco tiempo para dedicarle al foro.

Aún tienes malware (variopinto) activo en tu máquina y almenos la dll maliciosa de la doble tilde aún está activa. Pero no la tarea del sistema (Task Schedule) que hace que se cargue la dll maliciosa.

:zero: DESINSTALACIÓN PROGRAMAS

Para los programas en que te diga: puedes quitarlos. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Quitas todos los programas que encuentre Revo con los nombres de: GPFBP V1400, S.I.Ap. y Windows Manager (sobretodo este, MUY IMPORTANTE ESTE).

Pues serían los siguientes:

GPFBP V1400 - R3
S.I.Ap.
Windows Manager

Estos deben de quedar completamente desinstalados.

:one: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Unlock: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned
Unlock: C:\Users\Matías\AppData\Local\ModelResult
Folder: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned
Folder: C:\Users\Matías\AppData\Local\ModelResult
File: C:\WINDOWS\system32\containerdevicemanagement.dll; C:\WINDOWS\system32\uwfcfgmgmt.dll;C:\Users\Matías\Downloads\home.zip;C:\Users\Matías\Documents\Default.rdp;C:\Users\Matías\Downloads\41a1e84c__blood-bowl-ii.zip
File: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
U3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
U3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\Software\Classes\exefile:  <==== ATENCIÓN
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\Software\Classes\.exe: exefile =>  <==== ATENCIÓN
SearchScopes: HKU\S-1-5-21-824706290-3614823676-1698890305-1004 -> DefaultScope {FC73D04D-1DEB-4419-B8CB-33E82BB51229} URL = 
SearchScopes: HKU\S-1-5-21-824706290-3614823676-1698890305-1004 -> {460C3D19-B3D4-4964-A550-77D263B0CCCB} URL = 
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\StartupApproved\Run: => "Prun"
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\StartupApproved\Run: => "WinFlow"
2021-06-05 11:41 - 2014-06-30 21:18 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AFIP - Aplicaciones
2021-06-15 17:46 - 2019-03-19 01:52 - 000000000 ____D C:\WINDOWS\system32\FxsTmp
2021-06-02 20:31 - 2015-11-13 20:56 - 000000000 ____D C:\MAPS
2021-05-30 15:14 - 2021-05-30 15:14 - 000000000 ____D C:\SystemID
2021-05-30 15:12 - 2021-06-01 16:27 - 000000000 ____D C:\Users\Matías\Documents\VlcpVideoV1.0.1
2018-12-14 19:36 - 2018-12-14 19:36 - 000000000 _____ () C:\Users\Matías\AppData\Local\{8B469074-9A35-4237-80AB-094237A1A1B1}
2014-05-01 16:29 - 2014-05-01 16:29 - 000098304 _____ () [Archivo no firmado] C:\Program Files (x86)\FileZilla FTP Client\fzshellext_64.dll
2021-06-04 22:00 - 2021-06-04 22:00 - 000114176 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_ctypes.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000172544 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_elementtree.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 002255872 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_hashlib.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000032256 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_multiprocessing.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000046080 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_psutil_windows.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000047616 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_socket.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 002824704 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_ssl.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000026112 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_yappi.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000080896 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\bz2.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000015872 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\common.time34.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000007680 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\hashobjs_ext.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000301568 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\PIL._imaging.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000168448 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pyexpat.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 001084416 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pysqlite2._sqlite.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000548864 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pythoncom27.dll
2021-06-04 22:00 - 2021-06-04 22:00 - 000137728 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pywintypes27.dll
2021-06-04 22:00 - 2021-06-04 22:00 - 000010752 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\select.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000020992 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\thumbnails_ext.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000689664 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\unicodedata.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000119808 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\usb_ext.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000128512 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32api.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000438784 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32com.shell.shell.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000011776 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32crypt.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000023040 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32event.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000149504 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32file.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000223232 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32gui.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000048128 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32inet.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000029696 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32pdh.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000027648 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32pipe.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000044032 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32process.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000020480 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32profile.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000136192 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32security.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000026624 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32ts.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000034304 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.conditional.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000037888 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.connectivity.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000071680 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.device_monitor.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000103936 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.volumes.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000019968 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.winwrap.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 001325056 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._controls_.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 001489408 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._core_.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 001007104 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._gdi_.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000103424 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._html2.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 000916992 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._misc_.pyd
2021-06-04 22:00 - 2021-06-04 22:00 - 001039872 _____ () [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._windows_.pyd
2021-05-30 15:06 - 2021-06-02 21:49 - 000000557 _____ C:\Users\Matías\Downloads\41a1e84c__blood-bowl-ii.zip
C:\Program Files (x86)\AW Manager
C:\Windows\PublicGaming
2018-07-14 04:11 - 2017-11-25 15:55 - 000258048 _____ () [Archivo no firmado] [El archivo está en uso] C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
RemoveDirectory: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned
C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas tardes/noches.

No te hagas problema por las demoras. Dado que el problema, “aparentemente” está solucionado, no tengo apuro. Obviamente me interesa terminar de limpiar el equipo, pero no me preocupa tardar un par de días más!

Te voy contestando en el mismo orden en que me pedías las cosas.

0.- Desinstalación. El REVO no encuentra ninguno de lo tres programas. Por las dudas corrí también el limpiador de archivos basura de la misma aplicación y no vi nada que pareciera estar relacionado con esos programas (por lo menos por los nombres de las carpetas/archivos). De cualquier manera borré todos esos archivos basura.

1.1.- Copia de Seguridad: OK

1.2.- Correr el FRST con el TXT que me enviaste: OK

1.3.- Te paso el FIXLOG como me pediste: Fixlog.txt (36,3 KB)

Listo. Por ahora todo sigue normal. Si veo algo raro te aviso. Ya me dirás si hay que hacer algo más para asegurarme que está todo OK.

Saludos y, nuevamente, gracias por la ayuda!