Virus doble tilde. Otro con el mismo problema

Hola buenas @1Matute

OK. Perfecto.

Ok. Extraño ya que FRST los detecta claramente. Y te deberían de aparecer, ya que de los 3 programas en ningún momento te sales las entradas como Hidden. Quiero decir, que si te salen así:

GPFBP V1400 - R3 (HKLM-x32\...\ST5UNST #2) (Version:  - )
S.I.Ap. (HKLM-x32\...\ST5UNST #1) (Version:  - )
Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== ATENCIÓN

Pues en principio es porque aún están instalados en la máquina o bien quedan restos de estos. Pero al estar así, es casi seguro de que sí que están instalados como tal. Es decir, que está el programa completo instalado. No solo residuos de estos.

Diferente fuera que te apareciesen así:

GPFBP V1400 - R3 (HKLM-x32\...\ST5UNST #2) (Version:  - ) Hidden
S.I.Ap. (HKLM-x32\...\ST5UNST #1) (Version:  - ) Hidden
Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) Hidden <==== ATENCIÓN

Ya que el Hidden me indica que el instalador está oculto (a ojos del user normal). Y que si no se hacen ciertas modificaciones(correcciones con el FRST), no podrás desinstalar el programa. Pero no es tu caso. Así que tu caso no me cuadra en absoluta. Así que haremos lo siguiente:

A continuación inicias tu equipo desde el Modo Seguro de Windows sin funciones de red. (SOLO ESTA VEZ). Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Mínimo).

Desactivas tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). ¿Cómo saber si mi Windows es de 32 o 64 bits.?

Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

Farbar Recovery Scan Tool

1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

3. En la ventana principal del programa esta vez deberás de tener en cuenta en que debes de marcar la casilla de 90 Days Files o Archivos 90 días, según el idioma.

4. Presionas sobre Analizar/Scan y esperas a que finalice el análisis.

5. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Antes de empezar… tengo WIN 10 (que no está en el listado de opciones).

No debería (para el modo seguro) reiniciarlo desde el menú de apagado (opción Reiniciar) pulsando SHIFT en simultáneo? y desde allí buscar la configuración de inicio?

Veo que era “otro” de los métodos del documento. Así que entiendo que es válido.

Listo. Corrido el FSRT64 y obtenidos los reportes, te los paso: FRST.txt (33,2 KB) y Addition.txt (39,2 KB)

Quedo a la espera de tus comentarios

Hola, buenas @1Matute

OK.

Sí, correcto. hagamos una última revisión más. Pero esta vez inicia la máquina en Modo Normal.

Desactivas tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). ¿Cómo saber si mi Windows es de 32 o 64 bits.?

Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

Farbar Recovery Scan Tool

1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

PRÓXIMA RESPUESTA

Pegas los reportes de FRST y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Perfecto, hablamos entonces de hacer lo mismo que antes, pero con el equipo en en modo “normal” en vez de en modo seguro.

Listo, te paso los dos archivos: FRST.txt (33,3 KB) y Addition.txt (46,2 KB)

Quedo a la espera de tus comentarios.

Hola, buenas @1Matute

Primero de todo yo también quiero pedirte disculpas, pues últimamente tengo súper poco tiempo para dedicarle al foro. De todas formas Yo seguiré con tu caso hasta el final, hasta que esté solucionado. Aunque tarde bastante en responder, para nada te dejaré tirado.

Bien, dicho esto, vamos al lío.

• Descargas DelFix en tu escritorio.

• Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

• Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

• Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

• Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
2021-06-23 15:17 - 2021-06-23 15:17 - 000114176 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_ctypes.pyd
2021-06-23 15:17 - 2021-06-23 15:17 - 000172544 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_elementtree.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 002255872 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_hashlib.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000032256 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_multiprocessing.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000046080 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_psutil_windows.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000047616 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_socket.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 002824704 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_ssl.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000026112 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\_yappi.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000080896 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\bz2.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000015872 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\common.time34.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000007680 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\hashobjs_ext.pyd
2021-06-23 15:17 - 2021-06-23 15:17 - 000301568 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\PIL._imaging.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000168448 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\pyexpat.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 001084416 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\pysqlite2._sqlite.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000548864 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\pythoncom27.dll
2021-06-23 15:18 - 2021-06-23 15:18 - 000137728 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\pywintypes27.dll
2021-06-23 15:18 - 2021-06-23 15:18 - 000010752 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\select.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000020992 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\thumbnails_ext.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000689664 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\unicodedata.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000119808 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\usb_ext.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000128512 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32api.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000438784 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32com.shell.shell.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000011776 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32crypt.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000023040 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32event.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000149504 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32file.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000223232 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32gui.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000048128 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32inet.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000029696 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32pdh.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000027648 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32pipe.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000044032 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32process.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000020480 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32profile.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000136192 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32security.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000026624 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\win32ts.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000034304 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\windows.conditional.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000037888 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\windows.connectivity.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000071680 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\windows.device_monitor.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000103936 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\windows.volumes.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000019968 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\windows.winwrap.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 001325056 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\wx._controls_.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 001489408 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\wx._core_.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 001007104 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\wx._gdi_.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000103424 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\wx._html2.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 000916992 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\wx._misc_.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 001039872 _____ () [Archivo no firmado] C:\Users\Matías\AppData\Local\Temp\_MEI36042\wx._windows_.pyd
2021-06-23 15:18 - 2021-06-23 15:18 - 003043328 _____ (Python Software Foundation) [Archivo no firmado] C:\Users\MATAS~1\AppData\Local\Temp\_MEI36042\python27.dll
Folder: C:\467bf4382de8dae938b80d4e54f8c4

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

No hay ninguna disculpa que pedir. Bastante con que te ocupas para además ponerme en exigente!

Listo, creado el back-up y corrido el script.

Te paso el resultado: Fixlog.txt (17,4 KB)

Quedo a la espera (cuando puedas) de tus comentarios.

Saludos

Ok a todo. Ahora haces esto de nuevo:

Salu2.

Van los resultados del FRST: FRST.txt (29,1 KB) y Addition.txt (46,7 KB)

Quedo a la espera de tus comentarios.

Saludos

Hola, buenas @1Matute

PREGUNTAS

¿Reconoces esta cuenta de usuario en tu máquina: defaultuser100001(S1-5-21-824706290-3614823676-1698890305-1012 - Limited - Enabled)?

¿En el pasado has tenido instalado el Antivirus MACAFEE pero ahora ya no? ¿Correcto?

• Descargas DelFix en tu escritorio.

• Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

• Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

• Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

• Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATENCIÓN (no ServiceDLL)

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

P.D.: Si tardo en responder que no te extrañe, voy con muy poco tiempo y es normal. Pero seguiremos el caso hasta el final. YA FALTA SUPERPOCO PARA ACABAR.

Buenas, nuevamente.

Respecto a tus preguntas.

El usuario, no, no lo generé yo (y con ese nombre supongo que fue algún tipo de automatismo).

Respecto al antivirus, SI, correcto, el equipo vino con una versión gratuita por el primer año, pero lo desinstalé cuando venció.

Ejecuté el FSRT con el script que me mandaste y este es el archivos de salida: Fixlog.txt (6,9 KB)

Ya me dirás si con eso terminamos de limpiar el equipo o aparece algo más!

Saludos

Hola, buenas de nuevo @1Matute.

Yo ahora ya ando con más tiempo, así que mis respuestas en el foro serán más rápidas. Y este caso tuyo lo finiquitaremos en muy poco tiempo.

OK. la cuenta y su carpeta asociada no es maligna ni está relacionada con ningún tipo de malware. Podemos dejarla sin ningún problema en el equipo. De todas formas: ¿Recientemente has instalado actualizaciones en tu Windows 10?

OK. ¿Quieres seguir utilizando el mismo Antivirus (MACAFEE) e instalarlo de nuevo o quieres utilizar otro diferente a este?

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Realizas un análisis con Dr Web CureIt siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It de: https://www.infospyware.com/Software/click.php?id=41

PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Dr Web CureIt y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Perdón la demora, los dos procesos tardaron varias horas c/u.

Vamos con las respuestas.

Actualizaciones W10: Solo las automáticas que cada tanto el sistema pide instalar.

Respecto al antivirus: No, no me interesa volver a instalarlo. Si lo usé en su momento es porque venía pre-instalado.

Van los reportes

Resultado_ESET.txt (686 Bytes)

Del del CureIt te paso, como pides, solo la parte final:

Total 498846594036 bytes in 554990 files scanned (645982 objects)
Total 554963 files (645811 objects) are clean
Total 44 files (45 objects) are infected
Total 123 files are raised error condition
Scan time is 02:04:37.628

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\Program Files (x86)\UsbFix\UsbFix.exe - quarantined, reboot required
C:\Program Files (x86)\UsbFix\Un-UsbFix.exe - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\gdihook5.sys.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\gdihook5.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\clhook4.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\DBI.EXE.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\AudioCapture.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\IPBR32.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBBR32.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\CryptPak.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\IPCTL32.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\HTCTL32.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\Nbctl32.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA3.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA0.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA5.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA6.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA2.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA4.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA1.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NBCTLA7.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\nskbfltr.sys.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\nsmexec.exe.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\PCICHEK.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\pcigina.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\pciconn.exe.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\NSToast.exe.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\pcicapi.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\pcicfgui.exe.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\PCIMON.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\PCIHOOKS.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\pcimonhook.dll.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\PCIMSG.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\nspscr.sys.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\PCICL32.DLL.vir - quarantined
C:\Program Files (x86)\UsbFix\Quarantine\C\Users\Matías\AppData\Roaming\WinSupport\PCIinv.dll.vir - quarantined
C:\Users\Matías\AppData\Roaming\WinSupport\TCCTL32.DLL - quarantined
C:\Users\Matías\AppData\Roaming\WinSupport\PCIVDD.DLL - quarantined
C:\Users\Matías\AppData\Roaming\WinSupport\shfolder.dll - quarantined
C:\Users\Matías\AppData\Roaming\WinSupport\TCBR32.DLL - quarantined
C:\Users\Matías\AppData\Roaming\WinSupport\pscrinst.dll - quarantined
C:\Users\Matías\AppData\Roaming\WinSupport\remcmdstub.exe - quarantined
C:\Users\Matías\AppData\Roaming\WinSupport\VolumeControlWXP.DLL - quarantined
C:\Users\Matías\Desktop\VIRUSES\UsbFix_2020.exe - quarantined

Total 498846594036 bytes in 554990 files scanned (645982 objects)
Total 554963 files (645811 objects) are clean
Total 44 files (45 objects) are infected
Total 44 files are neutralized
Total 123 files are raised error condition
Scan time is 02:04:37.628

Y listo de mi parte. Espero que no encuentres nada raro!

Hola buenas @1Matute disculpa que haya tardado en responder. Pues estoy teniendo unos días muy ajetreados, con bastante poco tiempo.

Ok. Perfecto, pues referente a esa carpeta… si antes ya me cuadraba bastante la cosa… con esto último que me indicas. Mucho más… así que no hace falta decir nada más. Todo correcto, esa carpeta se queda a en el sistema, ya que está muy claro lo que es… y no es malware.

Ok. Buscaremos y eliminaremos pequeños restos que puedan quedar de este MACAFEE.

Respecto ESET >> cuarentena de FRST de la dll maliciosa INACTIVA del malware de la doble tilde. Nada que temer, todo controlado:+1:

Respecto Cure It >> cuarentena de USBFIX de detecciones varias. Cuando tú utilizaste esta herramienta, antes de abrir este tema. Nada que temer, todo controlado:+1:

De todas formas:

¿Reconoces esto: WinSupport? ¿Te suena de algo?

Lanza otra vez el FRST, pues quitaremos los restos de MACAFEE y esto ya va de bajada, claramente.

Desactivas tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). ¿Cómo saber si mi Windows es de 32 o 64 bits.?

Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

Farbar Recovery Scan Tool

1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

PRÓXIMA RESPUESTA

Pegas los reportes de FRST y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Buenas nuevamente.

Respecto al WinSupport, no, no me suena.

Corri nuevamente el FSRT y esos son los archivos que generó: FRST.txt (27,4 KB) y Addition.txt (46,6 KB)

Listo. Quedo a la espera de tus comentarios

Hola, buenas @1Matute disculpa que haya tardado en responder. Pues estoy teniendo unos días muy ajetreados, con bastante poco tiempo.

Ok, perdonado estas. Ahora perdóname tú a mi, pues he tardado mucho, disculpas.

OK, perfecto. Todo me cuadra.

OK . Todo entendido.

De todas formas como han pasado unos cuantos días respecto a los logs de FRST que me trajiste correctamente en su momento, quiero ver reportes frescos de FRST. Así que ahora lo ejecutaras de nuevo de la siguiente forma:

Desactivas tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). ¿Cómo saber si mi Windows es de 32 o 64 bits.?

Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

Farbar Recovery Scan Tool

1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

3. En la ventana principal del programa esta vez deberás de tener en cuenta en que debes de marcar la casilla de 90 Days Files o Archivos 90 días, según el idioma.

4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

PRÓXIMA RESPUESTA

Pegas los reportes de FRST y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

No te preocupes por la demora.

Aquí vamos con los nuevos reportes (incluyendo la marca de los 90 días): FRST.txt (31,0 KB) y Addition.txt (46,0 KB)

Quedo a la espera que los puedas mirar

Hola, buenas @1Matute disculpa que haya tardado en responder. Pues estoy teniendo unos días muy ajetreados, con bastante poco tiempo.

DESINSTALACIÓN PROGRAMAS

Para los programas en que te diga: puedes quitarlos. Hazlo así:

Desinstalalos con Revo Uninstaller en su Modo Avanzado. Para ello sigues su manual la parte de desinstalación de programas.

Quitas todos los programas que encuentre Revo con los nombres de: McAfee

Pues serían los siguientes:

McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.8.150.1 - McAfee, Inc.)

Estos deben de quedar completamente desinstalados.

Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

• Reinicias el ordenador en Modo Normal.

• Descargas DelFix en tu escritorio.

• Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

• Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

• Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

• Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
SystemRestore: On
CREATERESTOREPOINT:
CLOSEPROCESSES:
Folder: C:\Users\Matías\AppData\Roaming\WinSupport
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2014-08-28]
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.8.150\SSScheduler.exe (McAfee, Inc. -> McAfee, Inc.)
FF HKU\S-1-5-21-824706290-3614823676-1698890305-1001\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: (McAfee Security Scan Plus) - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04] [Heredado] [no firmado]
FF HKU\S-1-5-21-824706290-3614823676-1698890305-1005\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
CHR HKU\S-1-5-21-824706290-3614823676-1698890305-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc. -> McAfee, Inc.)
2021-08-01 11:13 - 2021-08-12 00:00 - 000025915 ____H C:\Users\Matías\Desktop\~WRL0003.tmp
2021-07-06 00:22 - 2021-07-06 00:22 - 000024178 ____H C:\Users\Matías\Desktop\~WRL3633.tmp
2021-05-30 15:13 - 2021-07-21 15:10 - 000000000 ___HD C:\Users\Matías\AppData\Roaming\WinSupport
BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll [2014-04-09] (McAfee, Inc. -> McAfee, Inc.)
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
C:\Program Files\McAfee Security Scan
C:\ProgramData\McAfee Security Scan

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

3. Cunado finalice, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Listo. Aquí vamos.

Corrido el Revo Uninstaller, hecha la copia del Registro y ejecutado el FSRT64. Te paso el archivo de respuesta: Fixlog.txt (10,3 KB)

Reiniciado el Ordenador y, como venía pasando últimamente, aparentemente sin problemas.

Espero tus novedades.

Saludos

Hola, buenas @1Matute

Ok ya lo he revisado y está todo correcto.

De todas formas quiero dos logs frescos de FRST. Si todo está correcto ya habremos terminado y te daré una serie de buenas recomendaciones para que en el futuro sea bastante menos probable de que te infectes.

Espero esos logs.

Salu2.