Listo. Perdoná la demora pero vi el post cuando estaba en la oficina (hoy tocaba trabajo presencial) y recién llego a casa.
Sigue todo bien (sin doble acento, sin extensiones raras y sin carpeta que no debe existir) y ya generé los nuevos reportes. Te los adjunto; FRST:
FRST.txt (41,6 KB)
y Addition: Addition.txt (45,7 KB)
Hola, buenas @1Matute he estado revisando tu caso y bueno… vayamos por partes.
PREGUNTAS
¿Tu sistema actualmente hace poco o en el pasado fue infectado por malware del tipo Ransomware?
¿Reconoces esta carpeta y fichero? >> C:\SystemID\PersonalID.txt
Abres el fichero de texto y me revelas que contenido sale en este. Pero estoy casi seguro de que es la típica nota prototipo de un RansomWare pidiendo para un rescate. Vamos o al menos tiene la pinta.
¿Te suena esta ID de extensión? >> lmjegmlicamnimmfhcmpkclmigmmcbeh
¿O te suena haber tenido o sigues teniendo esta extensión de CHROME? >> Google Drive App Launcher
Sube estos ficheros a VirusTotal para ello te recomiendo que sigas Manual VirusTotal:
Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.
El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.
Finalmente (OJO, en MODO NORMAL):
Ejecutas nuevamente FRST.exe(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).
Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.
Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.
Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.
Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:
A grandes rasgos es todo un gran NO, no lo reconozco. Vamos por partes:
Infecciones por Ramsomware, creo que no, pero quizás no me di cuenta de ello
La carpeta y archivos no los reconozco, el contenido es solo una cadena de caracteres (lo que te agrego en itálicas) 1Nqrs2gV6nDybm0Hxp2nPSI0zvqEsWv5B6Zq99m4
La extensión con ese ID tampoco la ubico (y no coincide, creo, con la que tenía el wNetHome que tanto costó borrar)
La extensión de crome no la tengo y no recuerdo haberla instalado nunca.
Intenté analizar los ficheros en el VirusTotal, pero, en el caso del primero de ellos no me acepta subirlo, abriendo el zip veo que es solo un TXT, lo paso por la pagina y no tiene problemas. VirusTotal
Y en el caso del segundo, aparentemente tampoco hay nada raro. VirusTotal
Disculpa que haya tardado tanto en responder, pues últimamente dispongo de muy poco tiempo para dedicarle al foro.
OK.
Pues muy probablemente sí que hayas tenido en el pasado una infección por parte de algún RansomWare pues dicha carpeta no es legítima del sistema como tal. Y es el nombre típico de carpeta y tiene la ubicación típica y también de nombre de fichero de rescate de RansomWare típico. Así que si a todo esto le sumas: 1Nqrs2gV6nDybm0Hxp2nPSI0zvqEsWv5B6Zq99m4 seguro que en algún momento tuviste ransomware en tu máquina. Pues esto está claro que es una ID para… bueno mírate (solo mirar o leer) mejor esta página web: Remove HETS Ransomware Virus (2021 Decryption Guide) | Geek's Advice
OK. Ya nos encargamos de buscarla después si es el caso de una mejor forma.
Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.
Farbar Recovery Scan Tool
Ejecutas el FRST.exe(Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).
Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.
En la ventana principal del programa esta vez deberás de tener en cuenta en que debes de marcar la casilla de 90 Days Files o Archivos 90 días, según el idioma.
Presionas sobre Analizar/Scan y esperas a que finalice el análisis.
Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.
Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.También conectas nuevamente tu equipo a Internet.
PRÓXIMA RESPUESTA
Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).
NOTA IMPORTANTE
Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:
No realices pasos/acciones que NOSOTROS no te hayamos indicado.
No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
No instales NADA (programas/software/complementos/extensiones del navegador…).
No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
No realices por tu cuenta otros procedimientos.
Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.
Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:
Disculpa que haya tardado tantísimo en responder, pues últimamente dispongo de muy poco tiempo para dedicarle al foro.
Aún tienes malware (variopinto) activo en tu máquina y almenos la dll maliciosa de la doble tilde aún está activa. Pero no la tarea del sistema (Task Schedule) que hace que se cargue la dll maliciosa.
DESINSTALACIÓN PROGRAMAS
Para los programas en que te diga: puedes quitarlos. Hazlo así:
Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.
Quitas todos los programas que encuentre Revo con los nombres de: GPFBP V1400, S.I.Ap. y Windows Manager (sobretodo este, MUY IMPORTANTE ESTE).
Pues serían los siguientes:
GPFBP V1400 - R3
S.I.Ap.
Windows Manager
Estos deben de quedar completamente desinstalados.
Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:
Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.
El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.
Finalmente (OJO, en MODO NORMAL):
Ejecutas nuevamente FRST.exe(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).
Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.
Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.
Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.
Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:
No te hagas problema por las demoras. Dado que el problema, “aparentemente” está solucionado, no tengo apuro. Obviamente me interesa terminar de limpiar el equipo, pero no me preocupa tardar un par de días más!
Te voy contestando en el mismo orden en que me pedías las cosas.
0.- Desinstalación. El REVO no encuentra ninguno de lo tres programas. Por las dudas corrí también el limpiador de archivos basura de la misma aplicación y no vi nada que pareciera estar relacionado con esos programas (por lo menos por los nombres de las carpetas/archivos). De cualquier manera borré todos esos archivos basura.
1.1.- Copia de Seguridad: OK
1.2.- Correr el FRST con el TXT que me enviaste: OK
1.3.- Te paso el FIXLOG como me pediste: Fixlog.txt (36,3 KB)
Listo. Por ahora todo sigue normal. Si veo algo raro te aviso. Ya me dirás si hay que hacer algo más para asegurarme que está todo OK.
Ok. Extraño ya que FRST los detecta claramente. Y te deberían de aparecer, ya que de los 3 programas en ningún momento te sales las entradas como Hidden. Quiero decir, que si te salen así:
Pues en principio es porque aún están instalados en la máquina o bien quedan restos de estos. Pero al estar así, es casi seguro de que sí que están instalados como tal. Es decir, que está el programa completo instalado. No solo residuos de estos.
Ya que el Hidden me indica que el instalador está oculto (a ojos del user normal). Y que si no se hacen ciertas modificaciones(correcciones con el FRST), no podrás desinstalar el programa. Pero no es tu caso. Así que tu caso no me cuadra en absoluta. Así que haremos lo siguiente:
A continuación inicias tu equipo desde el Modo Seguro de Windows sin funciones de red. (SOLO ESTA VEZ). Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Mínimo).
Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.
Farbar Recovery Scan Tool
Ejecutas el FRST.exe(Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).
Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.
En la ventana principal del programa esta vez deberás de tener en cuenta en que debes de marcar la casilla de 90 Days Files o Archivos 90 días, según el idioma.
Presionas sobre Analizar/Scan y esperas a que finalice el análisis.
Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.
Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.También conectas nuevamente tu equipo a Internet.
PRÓXIMA RESPUESTA
Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).
NOTA IMPORTANTE
Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:
No realices pasos/acciones que NOSOTROS no te hayamos indicado.
No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
No instales NADA (programas/software/complementos/extensiones del navegador…).
No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
No realices por tu cuenta otros procedimientos.
Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.
Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:
Antes de empezar… tengo WIN 10 (que no está en el listado de opciones).
No debería (para el modo seguro) reiniciarlo desde el menú de apagado (opción Reiniciar) pulsando SHIFT en simultáneo? y desde allí buscar la configuración de inicio?
Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.
Farbar Recovery Scan Tool
Ejecutas el FRST.exe(Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).
Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.
En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.
Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.
Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.También conectas nuevamente tu equipo a Internet.
PRÓXIMA RESPUESTA
Pegas los reportes de FRST y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).
NOTA IMPORTANTE
Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:
No realices pasos/acciones que NOSOTROS no te hayamos indicado.
No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
No instales NADA (programas/software/complementos/extensiones del navegador…).
No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
No realices por tu cuenta otros procedimientos.
Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.
Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:
Primero de todo yo también quiero pedirte disculpas, pues últimamente tengo súper poco tiempo para dedicarle al foro. De todas formas Yo seguiré con tu caso hasta el final, hasta que esté solucionado. Aunque tarde bastante en responder, para nada te dejaré tirado.
Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.
El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.
Finalmente (OJO, en MODO NORMAL):
Ejecutas nuevamente FRST.exe(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).
Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.
Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.
Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.
Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:
Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)
Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.
Presionas en Run.
Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.
Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe
Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.
El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.
Finalmente (OJO, en MODO NORMAL):
Ejecutas nuevamente FRST.exe(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).
Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.
Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.
Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.
Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:
P.D.: Si tardo en responder que no te extrañe, voy con muy poco tiempo y es normal. Pero seguiremos el caso hasta el final.YA FALTA SUPERPOCO PARA ACABAR.
Yo ahora ya ando con más tiempo, así que mis respuestas en el foro serán más rápidas. Y este caso tuyo lo finiquitaremos en muy poco tiempo.
OK. la cuenta y su carpeta asociada no es maligna ni está relacionada con ningún tipo de malware. Podemos dejarla sin ningún problema en el equipo. De todas formas: ¿Recientemente has instalado actualizaciones en tu Windows 10?
OK. ¿Quieres seguir utilizando el mismo Antivirus (MACAFEE) e instalarlo de nuevo o quieres utilizar otro diferente a este?
Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:
Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).
0) Descarga Eset Online ScanerManual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.