Virus doble tilde. Otro con el mismo problema

Marr0n · 5 Junio, 2021 07:11

Hola, buenas @1Matute

PREGUNTAS

¿Tú has instalado en tu ordenador los siguientes programas o te suenan? Son estos:

GPFBP V1400 - R3 (HKLM-x32\...\ST5UNST #2) (Version:  - )
S.I.Ap. (HKLM-x32\...\ST5UNST #1) (Version:  - )
Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== ATENCIÓN

DESINSTALACIÓN PROGRAMAS

Si los programas que mencionado anteriormente, no los reconoces y tú no los has instalado en tu ordenador.

Los puedes quitar. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Quitas los programas citados anteriormente, que encuentre Revo. Si fuese el caso en como te he dicho.

Pues en tu caso tienes instalados los siguientes:

GPFBP V1400 - R3 (HKLM-x32\...\ST5UNST #2) (Version:  - )
S.I.Ap. (HKLM-x32\...\ST5UNST #1) (Version:  - )
Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== ATENCIÓN

Estos deben de quedar completamente desinstalados.

DESINSTALACIÓN EXTENSIONES

Para las extensiones en que te diga puedes quitarlas. Estas son: la extensión llamada vFlowSoft y también la nfedoihopcjdfjihhhojdclnfdgomdho.

Hazlo así tal y como se indica en el siguiente enlace: https://www.howtogeek.com/140464/how-to-manually-uninstall-a-globally-installed-chrome-extension/

Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

Reinicias el ordenador en Modo Normal.
Descargas DelFix en tu escritorio.
Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)
Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.
Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\Program Files (x86)\Picexa
Folder: C:\ProgramData\Ammrk\Uaevmq
Folder: C:\ProgramData\Ammrk
Folder: C:\Program Files (x86)\AW Manager
Folder: C:\Users\Matías\AppData\Roaming\dvdcss
Folder: C:\Users\Matías\AppData\Local\625edb88-e251-496e-970d-8baa1dea4a53
Folder: C:\Users\Matías\AppData\Local\{8B469074-9A35-4237-80AB-094237A1A1B1}
Folder: C:\SAVEGAME
Folder: C:\Program Files (x86)\Origin
Folder: C:\467bf4382de8dae938b80d4e54f8c4
Folder: C:\Users\Matías\AppData\Local\61c1b884-3182-4231-b18d-e24f9f4c087b
Folder: C:\Users\Matías\AppData\Roaming\Serian
Folder: C:\SystemID
Folder: C:\ProgramData\Windows Host
File: C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
File: C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._windows_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._misc_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._html2.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_ctypes.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_elementtree.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_hashlib.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_multiprocessing.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_psutil_windows.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_socket.pydC:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_ssl.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\_yappi.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\bz2.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\common.time34.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\hashobjs_ext.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\PIL._imaging.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pyexpat.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pysqlite2._sqlite.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pythoncom27.dll;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\pywintypes27.dll;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\select.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\thumbnails_ext.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\unicodedata.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\usb_ext.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32api.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32com.shell.shell.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32crypt.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32event.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32file.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32gui.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32inet.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32pdh.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32pipe.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32process.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32profile.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32security.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\win32ts.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.conditional.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.connectivity.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.device_monitor.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.volumes.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\windows.winwrap.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._controls_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._core_.pyd;C:\Users\MATAS~1\AppData\Local\Temp\_MEI9402\wx._gdi_.pyd
File: C:\Users\Matías\AppData\Local\script.ps1;C:\System.sav;C:\Users\Matías\Downloads\41a1e84c__blood-bowl-ii.zip;C:\WINDOWS\system32\uwfcfgmgmt.dll
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\MountPoints2: {4b0de3c8-6603-11e8-bf3e-7427ead0cead} - "J:\setup.exe" 
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\MountPoints2: {c7011605-a516-11e9-bf82-7427ead0cead} - "K:\Autorun.exe" 
Task: {014F484B-16FF-4B00-98CC-540355D050C3} - System32\Tasks\{E23EEEC2-DEA8-4483-9217-EDFFD8CC8E88} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe"
Task: {033DA1BB-A7DB-4BCB-B3EE-1DAA6A9DFA7F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Ningún archivo <==== ATENCIÓN
Task: {081A6BEE-BB2B-4EBA-A342-D24FF54B77BA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Ningún archivo <==== ATENCIÓN
Task: {0D7819CC-AF00-44C4-82D5-62B8EDD6317E} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe [1010800 2021-05-07] (Microleaves LTD -> AW Manager) <==== ATENCIÓN
Task: {1A1D4E7D-9A05-4D3D-9F7C-2ADD2909A169} - System32\Tasks\AdvancedWindowsManager #1 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {27337237-9B8E-4BFB-8548-098583004802} - System32\Tasks\AdvancedWindowsManager #6 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {2E236535-F43B-4AD8-97E1-00D68AC4AF6A} - System32\Tasks\AdvancedWindowsManager #4 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {35D403D8-CB95-4799-A5E0-A2C134BB11F7} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
Task: {3B78A505-916F-44B3-8FDB-BB14C5A76D8D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Ningún archivo <==== ATENCIÓN
Task: {3C564E81-4241-414A-A9FD-7D2B241E3767} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Ningún archivo <==== ATENCIÓN
Task: {3CCB67B0-5C95-4DC8-8955-39225C2E03C4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Ningún archivo <==== ATENCIÓN
Task: {5286977A-1992-4E46-B43D-0BC68990FFD1} - \WPD\SqmUpload_S-1-5-21-824706290-3614823676-1698890305-1005 -> Ningún archivo <==== ATENCIÓN
Task: {7EB771BB-3BEC-49C2-9D81-9CACF0C1EAF2} - System32\Tasks\AdvancedWindowsManager #3 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {A2696BC6-37BB-4F4D-A779-6DF66914D383} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Ningún archivo <==== ATENCIÓN
Task: {ABF29ADD-5E51-4142-B4F5-06BFF8F9742E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Ningún archivo <==== ATENCIÓN
Task: {ACD8A441-285A-47E7-BFB1-00D7137F22EE} - System32\Tasks\AdvancedWindowsManager #5 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {B9A598C9-425C-4480-AEC9-5CDC45D6A81C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Ningún archivo <==== ATENCIÓN
Task: {BF2F8768-0BD7-48E3-8D84-27217CC955AC} - System32\Tasks\AdvancedWindowsManager #2 => C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe <==== ATENCIÓN
Task: {C924D6B8-CBEC-48E6-AF38-D26849BECB76} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Ningún archivo <==== ATENCIÓN
Task: {DD1E6B84-58BC-4BDD-8F8A-131488947AE6} - System32\Tasks\Microsoft\Windows\RemoteApp and Desktop Connections Update\microsoft-windows-ndows-system-xstate-l1-1-0 => rundll32 C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll,mjxop_Sezbripy_AzRolel
Task: {E0BD8DDC-075B-457A-B461-F4B520FFAA6C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Ningún archivo <==== ATENCIÓN
Task: {F4D7965C-4DB2-459E-918B-10BA8B73BDEC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Ningún archivo <==== ATENCIÓN
Task: {F59DFFBA-C7D9-4D93-A53D-625A3553AE83} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Ningún archivo <==== ATENCIÓN
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
ProxyEnable: [S-1-5-21-824706290-3614823676-1698890305-1004] => Proxy está habilitado.
ProxyServer: [S-1-5-21-824706290-3614823676-1698890305-1004] => http=127.0.0.1:14006;https=127.0.0.1:14006
Edge Extension: (Sin Nombre) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [no encontrado]
Edge Extension: (Sin Nombre) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [no encontrado]
Edge Extension: (Sin Nombre) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [no encontrado]
Edge Extension: (Sin Nombre) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [no encontrado]
CHR Extension: (wNetHome) - C:\ProgramData\Ammrk\Uaevmq [2021-06-04]
CHR HKU\S-1-5-21-824706290-3614823676-1698890305-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nfedoihopcjdfjihhhojdclnfdgomdho]
2021-06-04 22:06 - 2021-06-04 22:06 - 000000000 ___HD C:\ProgramData\Ammrk
2021-06-02 19:16 - 2021-06-02 19:16 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2021-05-31 19:48 - 2021-05-31 19:51 - 000010720 _____ C:\DT-kill.txt
2021-05-31 19:48 - 2021-05-31 19:48 - 000000000 ____D C:\_DT-Kill
2021-05-30 15:18 - 2021-05-30 15:18 - 000003932 _____ C:\WINDOWS\system32\Tasks\AdvancedUpdater
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #6
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #5
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #4
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #3
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #2
2021-05-30 15:18 - 2021-05-30 15:18 - 000003928 _____ C:\WINDOWS\system32\Tasks\AdvancedWindowsManager #1
2021-05-30 15:18 - 2021-05-30 15:18 - 000000000 ____D C:\Program Files (x86)\AW Manager
2021-05-30 15:13 - 2021-05-30 15:13 - 000000000 ____D C:\Users\Matías\AppData\Local\NetSupport
2018-07-14 04:11 - 2017-11-25 15:55 - 000258048 _____ () [Archivo no firmado] [El archivo está en uso] C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
2021-05-30 15:14 - 2021-05-30 15:14 - 000000000 ____D C:\Users\Matías\AppData\Local\AdvinstAnalytics
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Ningún archivo
ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\Software\Classes\exefile:  <==== ATENCIÓN
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\Software\Classes\.exe: exefile =>  <==== ATENCIÓN
SearchScopes: HKU\S-1-5-21-824706290-3614823676-1698890305-1004 -> DefaultScope {FC73D04D-1DEB-4419-B8CB-33E82BB51229} URL = 
SearchScopes: HKU\S-1-5-21-824706290-3614823676-1698890305-1004 -> {460C3D19-B3D4-4964-A550-77D263B0CCCB} URL = 
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Ningún archivo)
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\StartupApproved\Run: => "Prun"
HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\StartupApproved\Run: => "WinFlow"
C:\Program Files (x86)\Picexa
C:\Users\Matías\AppData\Local\ModelResult\ProfeosxonabSigned\athq_prll_ue.dll
C:\ProgramData\Ammrk\Uaevmq
C:\ProgramData\Ammrk

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).
Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.
Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.
Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report

Salu2.