Buenos días Desde hace un par de semanas tengo un virus que se ejecuta cuando inicio windows y consume hasta un 100% de la cpu. He pasado Malwarebytes, adwcleaner, spybot, etc. Algunos lo detectan, pero en cada reinicio, vuelve a aparecer, me crea procesos como explorer.exe o conhost.exe que no puedo cerrar así como archivos que se ocultan asi marque la casilla de no ocultar.
Ayuda por favor
Hola @Susej_Susowski bienvenidoal foro
Pon los reportes de Malwarebytes y AdwCleaner para revisarlos.
Un saludo
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 24/2/20
Hora del análisis: 14:18
Archivo de registro: 4a7f097c-5736-11ea-b392-eca86b0bb2a1.json
-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.823
Versión del paquete de actualización: 1.0.19748
Licencia: Gratis
-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x86
Sistema de archivos: NTFS
Usuario: ANDRESRODRIGUEZ\Jeremmyaraujo
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 177325
Amenazas detectadas: 25
Amenazas en cuarentena: 0
Tiempo transcurrido: 16 min, 24 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 2
Trojan.Gosys, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Sin acciones por parte del usuario, 4140, 212143, , , ,
Trojan.Agent, C:\WINDOWS\SYSTEM\SVCHOST.EXE, Sin acciones por parte del usuario, 485, 216034, , , ,
Módulo: 2
Trojan.Gosys, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Sin acciones por parte del usuario, 4140, 212143, , , ,
Trojan.Agent, C:\WINDOWS\SYSTEM\SVCHOST.EXE, Sin acciones por parte del usuario, 485, 216034, , , ,
Clave del registro: 2
Trojan.VBCrypt, HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}, Sin acciones por parte del usuario, 4403, 707843, , , ,
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}, Sin acciones por parte del usuario, 485, 165494, 1.0.19748, , ame,
Valor del registro: 2
Trojan.Gosys, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|EXPLORER, Sin acciones por parte del usuario, 4140, 212143, 1.0.19748, , ame,
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|SVCHOST, Sin acciones por parte del usuario, 485, 216034, 1.0.19748, , ame,
Datos del registro: 5
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Sin acciones por parte del usuario, 13552, 293294, 1.0.19748, , ame,
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Sin acciones por parte del usuario, 13552, 293295, 1.0.19748, , ame,
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Sin acciones por parte del usuario, 13552, 293296, 1.0.19748, , ame,
Hijack.UserInit, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|USERINIT, Sin acciones por parte del usuario, 13609, 292476, 1.0.19748, , ame,
Trojan.Gosys, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Shell, Sin acciones por parte del usuario, 4140, 212143, , , ,
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 12
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\APPDATA\ROAMING\MRSYS.EXE, Sin acciones por parte del usuario, 4403, 707843, 1.0.19748, 9209EB0E46C36D1DD415E1F2, dds, 00604319
Trojan.Gosys, C:\WINDOWS\SYSTEM\EXPLORER.EXE, Sin acciones por parte del usuario, 4140, 212143, , , ,
Trojan.VBCrypt, C:\WINDOWS\SYSTEM\SPOOLSV.EXE, Sin acciones por parte del usuario, 4403, 707843, 1.0.19748, 9209EB0E46C36D1DD415E1F2, dds, 00604319
Backdoor.Agent.E, C:\PROGRAM FILES\MICROSOFT\DESKTOPLAYER.EXE, Sin acciones por parte del usuario, 3738, 363833, 1.0.19748, , ame,
Trojan.Agent, C:\WINDOWS\SYSTEM\SVCHOST.EXE, Sin acciones por parte del usuario, 485, 216034, , , ,
Trojan.Agent, C:\USERS\JEREMMYARAUJO\APPDATA\ROAMING\MRSYS.EXE, Sin acciones por parte del usuario, 485, 165494, , , ,
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\APPDATA\LOCAL\ICSYS.ICN.EXE, Sin acciones por parte del usuario, 4403, 707843, 1.0.19748, 9209EB0E46C36D1DD415E1F2, dds, 00604319
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\APPDATA\LOCAL\STSYS.EXE, Sin acciones por parte del usuario, 4403, 707843, 1.0.19748, 000000000000000000000001, dds, 00604319
Trojan.MalPack.Gen, C:\GERDOC.PIF, Sin acciones por parte del usuario, 10201, 78353, 1.0.19748, 000000000000000000000004, dds, 00604319
Worm.Qakbot, C:\USERS\JEREMMYARAUJO\APPDATA\LOCAL\MEGASYNC\MEGASYNCSRV.EXE, Sin acciones por parte del usuario, 3985, 434237, 1.0.19748, , ame,
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\MUSIC\DESKTOP\NUEVA CARPETA (2)\ADWCLEANER_8.0.2.EXE, Sin acciones por parte del usuario, 4403, 707843, 1.0.19748, 75E695D62D2A73AB40B550E1, dds, 00604319
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\MUSIC\DESKTOP\NUEVA CARPETA (2)\MBSETUP.EXE, Sin acciones por parte del usuario, 4403, 707843, 1.0.19748, A7664351E5A40F146AD75358, dds, 00604319
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)# -------------------------------
# Malwarebytes AdwCleaner 8.0.2.0
# -------------------------------
# Build: 01-27-2020
# Database: 2020-01-24.1 (Local)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 02-24-2020
# Duration: 00:01:31
# OS: Windows 7 Ultimate
# Scanned: 34824
# Detected: 2
***** [ Services ] *****
No malicious services found.
***** [ Folders ] *****
No malicious folders found.
***** [ Files ] *****
No malicious files found.
***** [ DLL ] *****
No malicious DLLs found.
***** [ WMI ] *****
No malicious WMI found.
***** [ Shortcuts ] *****
No malicious shortcuts found.
***** [ Tasks ] *****
No malicious tasks found.
***** [ Registry ] *****
PUP.Winlogon.Heuristic HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell
PUP.Winlogon.Heuristic HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries found.
***** [ Chromium URLs ] *****
No malicious Chromium URLs found.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries found.
***** [ Firefox URLs ] *****
No malicious Firefox URLs found.
***** [ Hosts File Entries ] *****
No malicious hosts file entries found.
***** [ Preinstalled Software ] *****
No Preinstalled Software found.
AdwCleaner[S00].txt - [2199 octets] - [21/02/2020 19:04:46]
AdwCleaner[C00].txt - [2127 octets] - [21/02/2020 19:05:14]
AdwCleaner[S01].txt - [1692 octets] - [23/02/2020 02:35:50]
AdwCleaner[C01].txt - [1844 octets] - [23/02/2020 02:36:07]
AdwCleaner[S02].txt - [1814 octets] - [23/02/2020 03:14:45]
AdwCleaner[C02].txt - [1966 octets] - [23/02/2020 03:15:06]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S03].txt ##########No sé si los envie bien, esos son los dos, saludos.
sigue creando archivos y carpetas ocultas, no me deja eliminar los archivos que crea o los elimino y vuelven a aparecer automaticamente…
Hola
En el reporte de Malwarebytes dice que no se tomaron acciones por parte del usuario, quiere decir que no se mandaron a cuarentena, y en el reporte de AdwCleaner tampoco se eliminó lo que detectó, si no mandaste a cuarentena todo tendrás que volver a ejecutar los dos programas y poner los reportes.
Un saludo
Dond ese guardan los reportes después del reinicio? siempre que tomo acciones regresan igual
Hola
Revisa el manual para saber como obtener el reporte:
Un saludo
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 25/2/20
Hora del análisis: 19:06
Archivo de registro: 999990e4-5827-11ea-b93c-eca86b0bb2a1.json
-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.823
Versión del paquete de actualización: 1.0.19748
Licencia: Gratis
-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x86
Sistema de archivos: NTFS
Usuario: ANDRESRODRIGUEZ\Jeremmyaraujo
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 177252
Amenazas detectadas: 13
Amenazas en cuarentena: 12
Tiempo transcurrido: 25 min, 25 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 2
Trojan.Gosys, C:\WINDOWS\SYSTEM\EXPLORER.EXE, En cuarentena, 4140, 212143, , , ,
Trojan.Agent, C:\WINDOWS\SYSTEM\SVCHOST.EXE, En cuarentena, 485, 216034, , , ,
Módulo: 2
Trojan.Gosys, C:\WINDOWS\SYSTEM\EXPLORER.EXE, En cuarentena, 4140, 212143, , , ,
Trojan.Agent, C:\WINDOWS\SYSTEM\SVCHOST.EXE, En cuarentena, 485, 216034, , , ,
Clave del registro: 1
Trojan.VBCrypt, HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}, En cuarentena, 4403, 707843, , , ,
Valor del registro: 2
Trojan.Gosys, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|EXPLORER, En cuarentena, 4140, 212143, 1.0.19748, , ame,
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|SVCHOST, En cuarentena, 485, 216034, 1.0.19748, , ame,
Datos del registro: 1
Trojan.Gosys, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Shell, Sustituido, 4140, 212143, , , ,
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 5
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\APPDATA\ROAMING\MRSYS.EXE, Error durante la eliminación, 4403, 707843, 1.0.19748, 9209EB0E46C36D1DD415E1F2, dds, 00604319
Trojan.Gosys, C:\WINDOWS\SYSTEM\EXPLORER.EXE, En cuarentena, 4140, 212143, , , ,
Trojan.Agent, C:\WINDOWS\SYSTEM\SVCHOST.EXE, En cuarentena, 485, 216034, , , ,
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\APPDATA\LOCAL\ICSYS.ICN.EXE, En cuarentena, 4403, 707843, 1.0.19748, 9209EB0E46C36D1DD415E1F2, dds, 00604319
Trojan.VBCrypt, C:\USERS\JEREMMYARAUJO\APPDATA\LOCAL\STSYS.EXE, En cuarentena, 4403, 707843, 1.0.19748, 9209EB0E46C36D1DD415E1F2, dds, 00604319
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)Hola
Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus
Descarga Farbar Recovery Scan Tool.en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de tu equipo. 
Como saber si Mi Windows es de 32 o 64 Bits ?.
Pon los dos reportes generados.
Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).
Un saludo
Resultado del análisis realizado por Farbar Recovery Scan Tool (FRST) (x86) Versión: 26-02-2020
Ejecutado por Jeremmyaraujo (administrador) sobre ANDRESRODRIGUEZ (Intel Corporation Intel powered classmate PC) (28-02-2020 01:53:48)
Ejecutado desde C:\Users\Jeremmyaraujo\AppData\Local\Temp\scoped_dir5416_1579169511
Perfiles cargados: Jeremmyaraujo (Perfiles disponibles: Jeremmyaraujo)
Platform: Microsoft Windows 7 Ultimate Service Pack 1 (X86) Idioma: Español (España, internacional)
Internet Explorer Versión 11 (Navegador predeterminado: Opera)
Modo de Inicio: Normal
Tutorial para Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Procesos (Lista blanca) =================
(Si una entrada es incluida en el fixlist, el proceso será cerrado. El archivo no será movido.)
(Blizzard Entertainment, Inc. -> Blizzard Entertainment) D:\Cursos\Juegos\Warcraft III\war3.exe
(Microsoft) [Archivo no firmado] C:\Windows\system\explorer.exe
(Microsoft) [Archivo no firmado] C:\Windows\system\svchost.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\66.0.3515.115\opera_crashreporter.exe
(Opera Software AS -> Opera Software) C:\Program Files\Opera\launcher.exe
(Realtek Semiconductor Corp -> Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
(VideoLAN -> VideoLAN) C:\Program Files\VideoLAN\VLC\vlc.exe
==================== Registro (Lista blanca) ===================
(Si una entrada es incluida en el fixlist, el elemento del registro será restaurado a su valor predeterminado o será eliminado. El archivo no será movido.)
HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe [11487848 2011-12-13] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [Explorer] => c:\windows\system\explorer.exe RU <==== ATENCIÓN
HKLM\...\Run: [Svchost] => c:\windows\system\svchost.exe [211993 2020-02-25] (Microsoft) [Archivo no firmado] <==== ATENCIÓN
HKLM\...\RunOnce: [Explorer] => c:\windows\system\explorer.exe RO <==== ATENCIÓN
HKLM\...\RunOnce: [Svchost] => c:\windows\system\svchost.exe [211993 2020-02-25] (Microsoft) [Archivo no firmado] <==== ATENCIÓN
HKLM\...\Winlogon: [Userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe <==== ATENCIÓN
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe, c:\windows\system\explorer.exe
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\Run: [FreeAC] => C:\Program Files\FreeAlarmClock\FreeAlarmClock.exe [3015072 2020-02-20] (Comfort Software Group -> Comfort Software Group)
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\Run: [IDMan] => C:\Program Files\Internet Download Manager\IDMan.exe [4141112 2020-02-20] (Tonec Inc.) [Archivo no firmado]
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {9475dc47-23de-11e2-a34e-eca86b478452} - F:\AutoRun.exe
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {d3a32df3-23dc-11e2-8eb2-809b20c1c648} - F:\autorun.exe
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {d4d45ae0-23dc-11e2-b160-c200629031b0} - E:\autorun.exe
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files\Google\Chrome\Application\79.0.3945.130\Installer\chrmstp.exe [2020-01-22] (Google LLC -> Google LLC)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}] -> C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe [2020-02-25] (Microsoft) [Archivo no firmado]
Startup: C:\Users\Jeremmyaraujo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk [2019-12-29]
ShortcutTarget: MEGAsync.lnk -> C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\MEGAsync.exe (Mega Limited -> Mega Limited)
AlternateShell:
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
==================== Tareas programadas (Lista blanca) ============
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
Task: {00C0D8D2-905D-466F-B78B-A1F46C10529E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [153168 2017-07-17] (Google Inc -> Google Inc.)
Task: {011A6FDB-2686-4533-99FD-8284858DFAE7} - System32\Tasks\Games\UpdateCheck_S-1-5-21-2007294222-2133950855-1524518008-1000 => {CA22F5B1-E06F-4A2B-94FC-21E87FE53781} C:\Windows\System32\gameux.dll [2576384 2014-03-01] (Microsoft Windows -> Microsoft Corporation)
Task: {2F6DB587-D38B-41BD-82DE-056378CF9C84} - System32\Tasks\Opera scheduled Autoupdate 1517260615 => C:\Program Files\Opera\launcher.exe [1351192 2020-02-24] (Opera Software AS -> Opera Software)
Task: {472F5BF1-6243-43FD-B34E-D84EDFEE17A5} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [153168 2017-07-17] (Google Inc -> Google Inc.)
Task: {59FF6A7D-72CB-4CE4-9DBB-51BDCB7F4778} - System32\Tasks\MEGA\MEGAsync Update Task S-1-5-21-2007294222-2133950855-1524518008-1000 => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\MEGAupdater.exe [615160 2019-12-29] (Mega Limited -> Mega Limited)
Task: {92318B52-B939-4D98-9F2D-72B2E8D85B3A} - System32\Tasks\Opera scheduled assistant Autoupdate 1581095977 => C:\Program Files\Opera\launcher.exe [1351192 2020-02-24] (Opera Software AS -> Opera Software)
Task: {F26AB641-6B23-4AB5-BB9F-6BCA7493330F} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy
(Si una entrada es incluida en el fixlist, el archivo de tarea (.job) será movido. El archivo que está siendo ejecutado por la tarea no será movido.)
==================== Internet (Lista blanca) ====================
(Si un elemento es incluido en el fixlist, y éste pertenece al registro, será eliminado o restaurado a su valor predeterminado.)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{9B78E56F-B58B-4194-BB21-C9CD6B0150F6}: [NameServer] 1.1.1.1,1.0.0.1
Tcpip\..\Interfaces\{B06D2DDE-79F4-4DAE-B014-860291F17712}: [NameServer] 8.8.8.8,8.8.4.4
Tcpip\..\Interfaces\{B06D2DDE-79F4-4DAE-B014-860291F17712}: [DhcpNameServer] 192.168.1.1
Internet Explorer:
==================
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/es-ve/?ocid=iehp
BHO: IDM integration (IDMIEHlprObj Class) -> {0055C089-8582-441B-A0BF-17B458C2A3A8} -> C:\Program Files\Internet Download Manager\IDMIECC.dll [2019-11-28] (Tonec Inc. -> Internet Download Manager, Tonec Inc.)
BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [2010-03-25] (Microsoft Corporation -> Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_161\bin\ssv.dll [2018-01-30] (Oracle America, Inc. -> Oracle Corporation)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2010-02-28] (Microsoft Corporation -> Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_161\bin\jp2ssv.dll [2018-01-30] (Oracle America, Inc. -> Oracle Corporation)
FireFox:
========
FF DefaultProfile: 6vty3n73.default
FF ProfilePath: C:\Users\Jeremmyaraujo\AppData\Roaming\Mozilla\Firefox\Profiles\6vty3n73.default [2020-02-24]
FF Extension: (Tile Tabs WE) - C:\Users\Jeremmyaraujo\AppData\Roaming\Mozilla\Firefox\Profiles\6vty3n73.default\Extensions\[email protected] [2017-12-27]
FF HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Internet Download Manager\idmmzcc3.xpi
FF Extension: (IDM Integration Module) - C:\Program Files\Internet Download Manager\idmmzcc3.xpi [2019-12-18] [UpdateUrl:hxxps://data.internetdownloadmanager.com/idmmzcc3/update.json]
FF HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\SeaMonkey\Extensions: [[email protected]] - C:\Users\Jeremmyaraujo\AppData\Roaming\IDM\idmmzcc5
FF Extension: (IDM CC) - C:\Users\Jeremmyaraujo\AppData\Roaming\IDM\idmmzcc5 [2020-01-13] [Heredado] [no firmado]
FF HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\SeaMonkey\Extensions: [[email protected]] - C:\Program Files\Internet Download Manager\idmmzcc2.xpi
FF Extension: (IDM integration) - C:\Program Files\Internet Download Manager\idmmzcc2.xpi [2017-12-20] [Heredado]
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_32_0_0_314.dll [2020-01-15] (Adobe Inc. -> )
FF Plugin: @java.com/DTPlugin,version=11.161.2 -> C:\Program Files\Java\jre1.8.0_161\bin\dtplugin\npDeployJava1.dll [2018-01-30] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.161.2 -> C:\Program Files\Java\jre1.8.0_161\bin\plugin2\npjp2.dll [2018-01-30] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @microsoft.com/GENUINE -> disabled [Ningún archivo]
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation -> Microsoft Corporation)
FF Plugin: @videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2018-04-19] (VideoLAN -> VideoLAN)
Chrome:
=======
CHR DefaultProfile: Profile 1
CHR Profile: C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default [2018-12-11]
CHR Extension: (Presentaciones) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-10-12]
CHR Extension: (Documentos) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-10-12]
CHR Extension: (Google Drive) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-07-17]
CHR Extension: (YouTube) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-07-17]
CHR Extension: (Chrome Cleaner Pro) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccjleegmemocfpghkhpjmiccjcacackp [2017-10-06]
CHR Extension: (Talk and Comment - Notas de voz) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\djnhkfljnimcpelfndpcjcgngmefaobl [2017-09-10]
CHR Extension: (minerBlock) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\emikbbbebcdfohonlaifafnoanocnebl [2018-05-10]
CHR Extension: (Cronómetro) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\eoiibkbchfmgmhlodifjceiginokllbj [2017-10-17]
CHR Extension: (Hojas de cálculo) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-10-12]
CHR Extension: (Documentos de Google sin conexión) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-07-17]
CHR Extension: (Tunnello Próxima Gen VPN - ¡Desbloquea, Ultra-Rápido y Seguro!) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\hoapmlpnmpaehilehggglehfdlnoegck [2018-03-15]
CHR Extension: (IDM Integration Module) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngpampappnmepgilojfohadhhmbhlaek [2018-05-10]
CHR Extension: (Sistema de pagos de Chrome Web Store) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2018-05-10]
CHR Extension: (Notifications for Instagram) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\opnbmdkdflhjiclaoiiifmheknpccalb [2018-01-15]
CHR Extension: (Gmail) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-07-17]
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-05-10]
CHR Profile: C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Guest Profile [2018-12-11]
CHR Profile: C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1 [2020-02-19]
CHR Extension: (AdBlock: el mejor bloqueador de anuncios) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2020-01-30]
CHR Extension: (IDM Integration Module) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ngpampappnmepgilojfohadhhmbhlaek [2020-01-29]
CHR Extension: (Sistema de pagos de Chrome Web Store) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2019-11-25]
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-31]
CHR Profile: C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\System Profile [2018-12-11]
CHR HKLM\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp]
CHR HKLM\...\Chrome\Extension: [clgckgfbhciacomhlchmgdnplmdiadbj]
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files\Internet Download Manager\IDMGCExt.crx [2019-12-25]
Opera:
=======
OPR Extension: (Turn Off the Lights) - C:\Users\Jeremmyaraujo\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccbdoklfbpcifppcfahmmpmbkfdjjccm [2019-01-25]
==================== Servicios (Lista blanca) ===================
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
S3 cphs; C:\Windows\system32\IntelCpHeciSvc.exe [279024 2014-04-09] (Intel Corporation - Software and Firmware Products -> Intel Corporation)
S3 ICCS; C:\Program Files\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe [169752 2012-04-24] (Intel Corporation -> Intel Corporation)
S3 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [5570712 2020-02-24] (Malwarebytes Inc -> Malwarebytes)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2014-03-01] (Microsoft Windows -> Microsoft Corporation)
===================== Controladores (Lista blanca) ===================
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
R3 acpials; C:\Windows\System32\DRIVERS\acpials.sys [7680 2009-07-13] (Microsoft Windows -> Microsoft Corporation)
S3 DFX11_1; C:\Windows\System32\drivers\dfx11_1.sys [24424 2012-12-13] (Power Technology -> Windows (R) Win 7 DDK provider)
S3 dg_ssudbus; C:\Windows\System32\DRIVERS\ssudbus.sys [109456 2018-09-30] (Samsung Electronics Co., Ltd. -> Samsung Electronics Co., Ltd.)
S3 GeneStor; C:\Windows\System32\DRIVERS\GeneStor.sys [56832 2018-09-30] (Microsoft Windows Hardware Compatibility Publisher -> GenesysLogic)
R1 HWiNFO32; C:\Windows\system32\drivers\HWiNFO32.SYS [23840 2018-09-30] (Martin Malik - REALiX -> REALiX(tm))
S3 IntcDAud; C:\Windows\System32\DRIVERS\IntcDAud.sys [289792 2014-03-26] (Intel(R) Corporation) [Archivo no firmado]
R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [178952 2020-02-27] (Malwarebytes Inc -> Malwarebytes)
S3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [213912 2020-02-27] (Malwarebytes Inc -> Malwarebytes)
R3 MEI; C:\Windows\System32\DRIVERS\TeeDriver.sys [166480 2016-04-28] (Intel(R) Embedded Subsystems and IP Blocks Group -> Intel Corporation)
R3 NETwNs32; C:\Windows\System32\DRIVERS\NETwsn01.sys [10387216 2018-09-30] (Intel Corporation-Wireless Connectivity Solutions -> Intel Corporation)
R3 RTL8167; C:\Windows\System32\DRIVERS\Rt86win7.sys [918376 2018-09-30] (Microsoft Windows Hardware Compatibility Publisher -> Realtek )
R3 RTSUER; C:\Windows\System32\Drivers\RtsUer.sys [311744 2018-11-07] (Realtek Semiconductor Corp. -> Realsil Semiconductor Corporation)
R3 SmbDrvI; C:\Windows\System32\DRIVERS\Smb_driver_Intel.sys [38440 2018-05-06] (Synaptics Incorporated -> Synaptics Incorporated)
S3 BstkDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X]
S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
==================== NetSvcs (Lista blanca) ===================
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
==================== Un mes (creado) ===================
(Si una entrada es incluida en el fixlist, el archivo/carpeta será eliminado/a.)
2020-02-27 14:10 - 2020-02-27 14:10 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\LocalLow\IGDump
2020-02-27 14:06 - 2020-02-27 14:06 - 000213912 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2020-02-27 14:06 - 2020-02-27 14:06 - 000178952 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2020-02-25 23:33 - 2020-02-25 23:33 - 000211738 __RSH (Microsoft) C:\Users\Jeremmyaraujo\AppData\Local\stsys.exe
2020-02-25 22:15 - 2020-02-27 20:44 - 000211967 _____ (Microsoft) C:\Users\Jeremmyaraujo\AppData\Local\icsys.icn.exe
2020-02-25 22:15 - 2020-02-25 22:15 - 000000000 __RSH C:\MSDOS.SYS
2020-02-25 22:15 - 2020-02-25 22:15 - 000000000 __RSH C:\IO.SYS
2020-02-25 19:35 - 2020-02-25 22:15 - 000211949 __RSH (Microsoft) C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe
2020-02-23 03:15 - 2020-02-23 03:15 - 000002702 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2020-02-23 03:12 - 2020-02-27 20:42 - 000003390 _____ C:\Users\Jeremmyaraujo\AppData\Local\icsys.icn
2020-02-23 03:12 - 2020-02-23 03:12 - 000000000 ___HD C:\Windows\PIF
2020-02-23 03:05 - 2014-03-01 23:12 - 002616320 _____ (Microsoft Corporation) C:\Windows\system32\explorer.exe
2020-02-23 00:22 - 2020-02-27 23:16 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Roaming\DMCache
2020-02-22 23:57 - 2020-02-22 23:57 - 000000000 __SHD C:\found.000
2020-02-22 02:22 - 2020-02-22 22:22 - 000000282 __RSH C:\ProgramData\ntuser.pol
2020-02-22 01:31 - 2020-02-24 04:53 - 000001948 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
2020-02-22 01:31 - 2020-02-24 04:53 - 000001948 _____ C:\ProgramData\Desktop\Malwarebytes.lnk
2020-02-22 01:31 - 2020-02-22 01:31 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Local\mbamtray
2020-02-22 01:31 - 2020-02-22 01:31 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Local\mbam
2020-02-22 01:31 - 2020-02-22 01:31 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Local\cache
2020-02-22 01:31 - 2020-02-22 01:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
2020-02-22 01:29 - 2020-02-24 04:50 - 000129056 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae.sys
2020-02-22 01:29 - 2020-02-22 01:29 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-02-21 21:39 - 2020-02-28 01:55 - 000000000 ____D C:\FRST
2020-02-21 19:03 - 2020-02-21 19:05 - 000000000 ____D C:\AdwCleaner
2020-02-20 09:55 - 2020-02-23 01:56 - 000000000 ____D C:\ProgramData\Doctor Web
2020-02-20 08:04 - 2020-02-20 08:04 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Local\Blizzard Entertainment
2020-02-19 23:10 - 2020-02-27 20:18 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2020-02-19 22:27 - 2020-02-19 22:27 - 000000000 ____D C:\Program Files\Malwarebytes
2020-02-17 22:07 - 2020-02-19 00:56 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Local\CrashDumps
2020-02-17 17:44 - 2020-02-17 17:44 - 000000000 ____D C:\Users\Jeremmyaraujo\Documents\Nueva carpeta
2020-02-17 05:11 - 2020-02-17 05:12 - 001449957 _____ C:\Users\Jeremmyaraujo\Downloads\video-1451118285.mp4
2020-02-17 05:10 - 2020-02-17 05:12 - 002365630 _____ C:\Users\Jeremmyaraujo\Downloads\video-1451117876.mp4
2020-02-17 05:10 - 2020-02-17 05:11 - 000327418 _____ C:\Users\Jeremmyaraujo\Downloads\video-1451118307.mp4
2020-02-16 19:34 - 2020-02-16 19:34 - 000000000 ____D C:\Windows\system32\appmgmt
2020-02-13 15:00 - 2020-02-23 03:22 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Local\ElevatedDiagnostics
2020-02-07 12:49 - 2020-02-13 01:14 - 000004042 _____ C:\Windows\system32\Tasks\Opera scheduled assistant Autoupdate 1581095977
2020-02-07 01:51 - 2020-02-07 01:51 - 000043520 _____ C:\Windows\system32\CmdLineExt03.dll
2020-02-06 01:23 - 2020-02-20 11:30 - 000143872 _____ (Intel Corporation) C:\Windows\system32\iacenc.dll
==================== Un mes (modificado) ==================
(Si una entrada es incluida en el fixlist, el archivo/carpeta será eliminado/a.)
2020-02-28 01:24 - 2017-09-22 15:03 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Roaming\vlc
2020-02-27 23:17 - 2018-01-29 16:45 - 000000000 ____D C:\Program Files\Opera
2020-02-27 21:28 - 2009-07-13 22:07 - 000000000 ____D C:\Windows\system32\NDF
2020-02-27 20:50 - 2009-07-13 22:07 - 000000000 ____D C:\Windows\system
2020-02-27 20:25 - 2009-07-14 00:04 - 000026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2020-02-27 20:25 - 2009-07-14 00:04 - 000026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2020-02-27 17:54 - 2018-09-13 04:17 - 000000000 ____D C:\Users\Jeremmyaraujo\Documents\MEGAsync Downloads
2020-02-27 05:03 - 2018-10-12 01:23 - 000003856 _____ C:\Windows\system32\Tasks\Opera scheduled Autoupdate 1517260615
2020-02-27 03:36 - 2020-01-13 01:54 - 000000000 ____D C:\Users\Jeremmyaraujo\Downloads\Video
2020-02-27 03:30 - 2020-01-13 01:54 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Roaming\IDM
2020-02-27 00:19 - 2018-04-06 01:47 - 000000000 ____D C:\Program Files\Internet Download Manager
2020-02-25 19:42 - 2009-07-13 22:07 - 000000000 ____D C:\Windows\inf
2020-02-25 19:41 - 2018-04-06 01:26 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync
2020-02-24 00:25 - 2017-11-23 18:59 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\LocalLow\Mozilla
2020-02-23 14:05 - 2019-02-28 17:33 - 000000000 ____D C:\kIDDING
2020-02-23 05:18 - 2018-10-08 08:26 - 000000000 ____D C:\Program Files\Wondershare
2020-02-23 05:03 - 2020-01-23 04:37 - 000000000 ____D C:\Program Files\Mozilla Firefox
2020-02-23 03:52 - 2020-01-13 01:28 - 000000000 ____D C:\Y2
2020-02-23 03:06 - 2011-04-11 21:09 - 000000000 ____D C:\Windows\ShellNew
2020-02-23 03:02 - 2017-06-12 18:17 - 000000000 ____D C:\Users\Jeremmyaraujo
2020-02-23 00:37 - 2018-10-29 09:37 - 000000000 ____D C:\Program Files\GIMP 2
2020-02-22 02:22 - 2018-04-14 09:39 - 000000000 ____D C:\Program Files\Notepad++
2020-02-22 02:22 - 2017-10-26 13:22 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Roaming\AudioHD
2020-02-21 19:05 - 2019-04-12 07:08 - 000000000 ____D C:\ProgramData\IObit
2020-02-20 11:29 - 2018-04-06 01:54 - 000000000 ___RD C:\Users\Jeremmyaraujo\Downloads\mega
2020-02-20 11:25 - 2018-11-22 00:28 - 000000000 ____D C:\Program Files\FreeAlarmClock
2020-02-20 11:23 - 2014-04-09 04:22 - 000145904 _____ (Intel Corporation) C:\Windows\system32\igfxtray.exe
2020-02-13 01:14 - 2018-12-19 19:08 - 000003526 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineUA
2020-02-13 01:14 - 2018-12-19 19:08 - 000003398 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineCore
2020-02-11 20:28 - 2020-01-26 22:19 - 000000000 ____D C:\Users\Jeremmyaraujo\Downloads\Compressed
2020-02-11 14:46 - 2018-02-25 23:24 - 001854464 ___SH C:\Users\Jeremmyaraujo\Documents\Thumbs.db
2020-02-11 04:38 - 2009-07-13 21:34 - 000000256 _____ C:\Windows\system.ini
2020-02-10 14:04 - 2017-07-24 21:33 - 000000000 ____D C:\Users\Jeremmyaraujo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
2020-02-07 01:45 - 2009-07-14 00:03 - 000415584 _____ C:\Windows\system32\FNTCACHE.DAT
2020-02-07 01:34 - 2017-09-28 17:44 - 000000000 ____D C:\Program Files\Common Files\InstallShield
2020-02-06 01:49 - 2009-07-14 00:22 - 000000000 ____D C:\Program Files\Microsoft Games
==================== Archivos en la raíz de algunos directorios ========
2020-02-25 19:35 - 2020-02-25 22:15 - 000211949 __RSH (Microsoft) C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe
2020-02-23 03:12 - 2020-02-27 20:42 - 000003390 _____ () C:\Users\Jeremmyaraujo\AppData\Local\icsys.icn
2020-02-25 22:15 - 2020-02-27 20:44 - 000211967 _____ (Microsoft) C:\Users\Jeremmyaraujo\AppData\Local\icsys.icn.exe
2020-02-25 23:33 - 2020-02-25 23:33 - 000211738 __RSH (Microsoft) C:\Users\Jeremmyaraujo\AppData\Local\stsys.exe
==================== SigCheck ============================
(No existe una corrección automática para los archivos que no pasan la verificación.)
LastRegBack: 2020-02-27 12:41
==================== Final de FRST.txt ======================== Resultados del Análisis Adicional de Farbar Recovery Scan Tool (x86) Versión: 26-02-2020
Ejecutado por Jeremmyaraujo (28-02-2020 01:58:15)
Ejecutado desde C:\Users\Jeremmyaraujo\AppData\Local\Temp\scoped_dir5416_1579169511
Microsoft Windows 7 Ultimate Service Pack 1 (X86) (2017-06-12 22:47:08)
Modo de Inicio: Normal
==========================================================
==================== Cuentas: =============================
Administrador (S-1-5-21-2007294222-2133950855-1524518008-500 - Administrator - Disabled)
Invitado (S-1-5-21-2007294222-2133950855-1524518008-501 - Limited - Enabled)
Jeremmyaraujo (S-1-5-21-2007294222-2133950855-1524518008-1000 - Administrator - Enabled) => C:\Users\Jeremmyaraujo
==================== Centro de Seguridad ========================
(Si una entrada es incluida en el fixlist, será eliminada.)
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Programas instalados ======================
(Solo los programas de adware con indicador "Oculto", pueden ser añadidos al fixlist para hacerlos visibles. Los programas adware deben ser desinstalados manualmente.)
Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated)
Adobe Flash Player 32 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 32.0.0.314 - Adobe)
Adobe Flash Player 32 PPAPI (HKLM\...\Adobe Flash Player PPAPI) (Version: 32.0.0.114 - Adobe Systems Incorporated)
CCleaner (HKLM\...\CCleaner) (Version: 5.07 - Piriform)
Convert MP4 to MP3 (HKLM\...\{5067397A-2935-4290-AE14-1BE2863B00A3}_is1) (Version: - ConvertMP4toMP3.com)
Counter-Strike 1.6 (HKLM\...\Counter-Strike 1.6_is1) (Version: Counter-Strike 1.6 No Steam - KingSOFT DVD)
Fotosizer 1.35 (HKLM\...\Fotosizer) (Version: 1.35 - Fotosizer.com)
Free Alarm Clock (HKLM\...\{8ED5A2F1-338F-4608-8AF7-BCD1ADC1E1F7}_is1) (Version: 4.0.1.0 - Comfort Software Group)
FTL version 1.5.13 (HKLM\...\{20E23A40-38E5-4DD6-B738-BC8097AE66B6}_is1) (Version: 1.5.13 - Subset Games)
Google Chrome (HKLM\...\Google Chrome) (Version: 79.0.3945.130 - Google LLC)
Google Update Helper (HKLM\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.35.441 - Google LLC) Hidden
Intel(R) SDK for OpenCL - CPU Only Runtime Package (HKLM\...\{FCB3772C-B7D0-4933-B1A9-3707EBACC573}) (Version: 2.0.0.37149 - Intel Corporation)
Internet Download Manager (HKLM\...\Internet Download Manager) (Version: - Tonec Inc.)
Java 8 Update 161 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F32180161F0}) (Version: 8.0.1610.12 - Oracle Corporation)
Malwarebytes version 4.0.4.49 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 4.0.4.49 - Malwarebytes)
MEGAsync (HKLM\...\MEGAsync) (Version: - Mega Limited)
Microsoft Office Professional Plus 2010 (HKLM\...\Office14.PROPLUS) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 (HKLM\...\{74d0e5db-b326-4dae-a6b2-445b9de1836e}) (Version: 14.0.23026.0 - Microsoft Corporation)
Mozilla Firefox 72.0.2 (x86 es-ES) (HKLM\...\Mozilla Firefox 72.0.2 (x86 es-ES)) (Version: 72.0.2 - Mozilla)
Notepad++ (HKLM\...\Notepad++) (Version: - )
NVIDIA PhysX (HKLM\...\{8B922CF8-8A6C-41CE-A858-F1755D7F5D29}) (Version: 9.12.1031 - NVIDIA Corporation)
Opera Stable 58.0.3135.68 (HKLM\...\Opera 58.0.3135.68) (Version: 58.0.3135.68 - Opera Software)
Opera Stable 66.0.3515.115 (HKLM\...\Opera 66.0.3515.115) (Version: 66.0.3515.115 - Opera Software)
Project64 versión 2.2 (HKLM\...\{BEB5FB69-4080-466F-96C4-F15DF271718B}_is1) (Version: 2.2 - Henryxs87)
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.6526 - Realtek Semiconductor Corp.)
Telegram Desktop version 1.3.10 (HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1) (Version: 1.3.10 - Telegram Messenger LLP)
Vivaldi (HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\Vivaldi) (Version: 1.13.1008.40 - Vivaldi)
VLC media player (HKLM\...\VLC media player) (Version: 3.0.2 - VideoLAN)
WinRAR 5.21 (32-bit) (HKLM\...\WinRAR archiver) (Version: 5.21.0 - win.rar GmbH)
Wondershare Helper Compact 2.5.2 (HKLM\...\{5363CE84-5F09-48A1-8B6C-6BB590FFEDF2}_is1) (Version: 2.5.2 - Wondershare)
==================== Personalizado CLSID (Lista blanca): ==============
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office14\GROOVEEX.DLL [4222864 2010-03-25] (Microsoft Corporation -> Microsoft Corporation)
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\ShellExtX32.dll [2019-12-29] (Mega Limited -> )
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\ShellExtX32.dll [2019-12-29] (Mega Limited -> )
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\ShellExtX32.dll [2019-12-29] (Mega Limited -> )
ShellIconOverlayIdentifiers: [ IDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => C:\Program Files\Internet Download Manager\IDMShellExt.dll [2019-05-02] (Tonec Inc. -> Tonec Inc.)
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\ShellExtX32.dll [2019-12-29] (Mega Limited -> )
ContextMenuHandlers1: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2015-02-24] (win.rar GmbH -> Alexander Roshal)
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\ShellExtX32.dll [2019-12-29] (Mega Limited -> )
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-02-22] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\ShellExtX32.dll [2019-12-29] (Mega Limited -> )
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Jeremmyaraujo\AppData\Local\MEGAsync\ShellExtX32.dll [2019-12-29] (Mega Limited -> )
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2014-03-20] (Microsoft Windows Hardware Compatibility Publisher -> Intel Corporation)
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2020-02-22] (Malwarebytes Corporation -> Malwarebytes)
ContextMenuHandlers6: [WinRAR] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2015-02-24] (win.rar GmbH -> Alexander Roshal)
==================== Codecs (Lista blanca) ====================
(Si una entrada es incluida en el fixlist, el elemento del registro será restaurado a su valor predeterminado o será eliminado. El archivo no será movido.)
HKLM\...\Drivers32: [VIDC.IV41] => C:\Windows\system32\IR41_32.AX [839680 2009-07-13] (Microsoft Windows -> Intel Corporation)
==================== Accesos directos & WMI ========================
(Las entradas pueden ser listadas para ser restauradas o eliminadas.)
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
ShortcutWithArgument: C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_eoiibkbchfmgmhlodifjceiginokllbj\Cronómetro.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory=Default --app-id=eoiibkbchfmgmhlodifjceiginokllbj
ShortcutWithArgument: C:\Users\Jeremmyaraujo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Persona 1 - Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory="Profile 1"
==================== Módulos cargados (Lista blanca) =============
==================== Alternate Data Streams (Lista blanca) ========
==================== Modo Seguro (Lista blanca) ==================
(Si una entrada es incluida en el fixlist, será eliminada del registro. El "AlternateShell" será restaurado.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
==================== Asociación (Lista blanca) =================
==================== Internet Explorer sitios de confianza/restringidos ==========
==================== Hosts contenido: =========================
(Si es necesario, la directiva Hosts: puede ser incluida en el fixlist para restablecer Hosts.)
2009-07-13 21:34 - 2009-06-10 17:09 - 000000824 _____ C:\Windows\system32\drivers\etc\hosts
==================== Otras Áreas ===========================
(Actualmente no existe una corrección automática para esta sección.)
HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path -> C:\ProgramData\Oracle\Java\javapath;C:\Program Files\NVIDIA Corporation\PhysX\Common;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files\Intel\OpenCL SDK\2.0\bin\x86
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\Control Panel\Desktop\\Wallpaper ->
DNS Servers: 8.8.8.8 - 8.8.4.4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Firewall de Windows está habilitado.
==================== MSCONFIG/TASK MANAGER elementos deshabilitados ==
(Si una entrada es incluida en el fixlist, será eliminada.)
MSCONFIG\Services: GoogleChromeElevationService => 3
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: WSearch => 2
MSCONFIG\Services: wuauserv => 2
MSCONFIG\startupreg: BCSSync => "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
MSCONFIG\startupreg: DAEMON Tools Ultra Agent => "C:\Program Files\DAEMON Tools Ultra\DTAgent.exe" -autorun
MSCONFIG\startupreg: IDMan => C:\Program Files\Internet Download Manager\IDMan.exe /onboot
MSCONFIG\startupreg: Skype for Desktop => C:\Program Files\Microsoft\Skype for Desktop\Skype.exe
MSCONFIG\startupreg: Skytel => C:\Program Files\Realtek\Audio\HDA\Skytel.exe
MSCONFIG\startupreg: Steam => "C:\Program Files\Steam\steam.exe" -silent
MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
MSCONFIG\startupreg: Vivaldi Update Notifier => "C:\Users\Jeremmyaraujo\AppData\Local\Vivaldi\Application\update_notifier.exe"
==================== Reglas de firewall (Lista blanca) ================
(Si una entrada es incluida en el fixlist, será eliminada del registro. El archivo no se moverá a menos que sea añadido al listado por separado.)
FirewallRules: [{7B872899-8980-4B46-8295-B708AA550EB2}] => (Allow) C:\Program Files\Opera\66.0.3515.103\opera.exe (Opera Software AS -> Opera Software)
FirewallRules: [{853E9EBA-E028-48D9-A876-453505004E9E}] => (Allow) C:\Program Files\Opera\66.0.3515.115\opera.exe (Opera Software AS -> Opera Software)
==================== Puntos de Restauración =========================
==================== Dispositivos defectuosos en el Administrador de dispositivos ============
Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
==================== Errores del registro de eventos: ========================
Errores de aplicación:
==================
Error: (02/28/2020 02:23:16 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Error del Servicio de instantáneas de volumen: error inesperado al llamar a la rutina CoCreateInstance. HR = 0x80080005, Error en la ejecución de servidor
.
Operación:
Creando instancia del servidor de VSS
Error: (02/28/2020 02:23:16 AM) (Source: VSS) (EventID: 11) (User: )
Description: Información del Servicio de instantáneas de volumen: el servidor COM con CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} y nombre IVssCoordinatorEx2 no puede iniciarse.
Probablemente la CPU presenta un nivel de carga muy elevado. [0x80080005, Error en la ejecución de servidor
]
Operación:
Creando instancia del servidor de VSS
Error: (02/28/2020 02:16:30 AM) (Source: VSS) (EventID: 12342) (User: )
Description: Error de instantánea de volumen: error 0x80042302, Un componente del Servicio de instantáneas de volumen detectó un error inesperado.
Consulte el registro de eventos de la aplicación para obtener más información.
al intentar inicializar el escritor del Registro. Esto puede provocar errores en futuras creaciones de instantáneas.
Error: (02/28/2020 02:16:30 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Error del Servicio de instantáneas de volumen: error inesperado al llamar a la rutina Subscribing the Registry server writer failed. hr = 8004230208lx. HR = 0x80042302, Un componente del Servicio de instantáneas de volumen detectó un error inesperado.
Consulte el registro de eventos de la aplicación para obtener más información.
.
Error: (02/28/2020 02:16:29 AM) (Source: VSS) (EventID: 8193) (User: )
Description: Error del Servicio de instantáneas de volumen: error inesperado al llamar a la rutina CoCreateInstance. HR = 0x80080005, Error en la ejecución de servidor
.
Operación:
Suscribiendo el escritor
Contexto:
Id. de clase del escritor: {afbab4a2-367d-4d15-a586-71dbb18f8485}
Nombre del escritor: Registry Writer
Id. de instancia del escritor: {209573af-39d0-48d2-a744-fc1dae50a892}
Error: (02/28/2020 02:16:29 AM) (Source: VSS) (EventID: 11) (User: )
Description: Información del Servicio de instantáneas de volumen: el servidor COM con CLSID {4e14fba2-2e22-11d1-9964-00c04fbbb345} y nombre CEventSystem no puede iniciarse.
Probablemente la CPU presenta un nivel de carga muy elevado. [0x80080005, Error en la ejecución de servidor
]
Operación:
Suscribiendo el escritor
Contexto:
Id. de clase del escritor: {afbab4a2-367d-4d15-a586-71dbb18f8485}
Nombre del escritor: Registry Writer
Id. de instancia del escritor: {209573af-39d0-48d2-a744-fc1dae50a892}
Error: (02/27/2020 11:17:20 PM) (Source: Microsoft-Windows-LoadPerf) (EventID: 3002) (User: NT AUTHORITY)
Description: El valor de cadena de texto explicativo del contador de rendimiento del Registro tiene un formato incorrecto. La cadena incorrecta es 驘Ὑ鱸. El primer valor DWORD de la sección de datos contiene el valor del índice de la cadena incorrecta, mientras que el segundo y tercer valor DWORD de la sección de datos contienen los últimos valores del índice válidos.
Error: (02/27/2020 09:40:40 PM) (Source: VSS) (EventID: 8193) (User: )
Description: Error del Servicio de instantáneas de volumen: error inesperado al llamar a la rutina CoCreateInstance. HR = 0x80080005, Error en la ejecución de servidor
.
Operación:
Suscribiendo el escritor
Contexto:
Id. de clase del escritor: {cd3f2362-8bef-46c7-9181-d62844cdc0b2}
Nombre del escritor: MSSearch Service Writer
Id. de instancia del escritor: {b3ea5992-775e-4f1a-8c58-04e176bb1695}
Errores del sistema:
=============
Error: (02/28/2020 02:03:35 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: El servidor {E579AB5F-1CC4-44B4-BED9-DE0991FF0623} no se registró con DCOM dentro del tiempo de espera requerido.
Error: (02/27/2020 11:19:13 PM) (Source: Microsoft-Windows-Diagnostics-Networking) (EventID: 5300) (User: NT AUTHORITY)
Description: Error. Error de Marco de diagnóstico de redes al completar la fase de reparación de la operación. Se generó un Informe de errores de Windows. [2147942487]
Error: (02/27/2020 11:17:23 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: El servicio Adaptador de rendimiento de WMI se cerró con el siguiente error:
Error no especificado
Error: (02/27/2020 08:52:20 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: El servidor {1BE1F766-5536-11D1-B726-00C04FB926AF} no se registró con DCOM dentro del tiempo de espera requerido.
Error: (02/27/2020 08:23:01 PM) (Source: Service Control Manager) (EventID: 7022) (User: )
Description: El servicio Windows Search no respondió después de iniciar.
Error: (02/27/2020 08:20:20 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: El servidor {1BE1F766-5536-11D1-B726-00C04FB926AF} no se registró con DCOM dentro del tiempo de espera requerido.
Error: (02/27/2020 08:18:20 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: El siguiente controlador de inicio del sistema o de inicio del arranque no se cargó correctamente:
cdrom
Error: (02/27/2020 08:18:19 PM) (Source: DCOM) (EventID: 10016) (User: NT AUTHORITY)
Description: La configuración de permisos específico de la aplicación no concede el permiso Iniciar Local para la aplicación de servidor COM con CLSID
{1BE1F766-5536-11D1-B726-00C04FB926AF}
y APPID
{1BE1F766-5536-11D1-B726-00C04FB926AF}
al usuario NT AUTHORITY\Servicio de red con SID (S-1-5-20) en la dirección LocalHost (con LRPC). Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes.
Windows Defender:
===================================
Date: 2018-08-27 13:48:35.904
Description:
El motor de %1 se detuvo debido a un error inesperado.
Tipo de error:%5
Código de excepción:%6
Recurso:%3
Date: 2012-11-01 02:37:41.058
Description:
El motor de %1 se detuvo debido a un error inesperado.
Tipo de error:%5
Código de excepción:%6
Recurso:%3
==================== Información de la memoria ===========================
BIOS: Phoenix Technologies Ltd. MPSNB10L.10A.0015.2013.0117.1148 01/17/2013
Placa base: Intel Corporation Intel powered classmate PC
Procesador: Intel(R) Celeron(R) CPU 847 @ 1.10GHz
Porcentaje de memoria en uso: 89%
RAM física total: 1871.73 MB
RAM física disponible: 202.09 MB
Virtual total: 3743.47 MB
Virtual disponible: 642.93 MB
==================== Unidades ================================
Drive c: () (Fixed) (Total:100.71 GB) (Free:20.63 GB) NTFS
Drive d: () (Fixed) (Total:193.61 GB) (Free:1.93 GB) NTFS
\\?\Volume{b9535a45-23b0-11e2-9c61-806e6f6e6963}\ (Reservado para el sistema) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS
==================== MBR & Tabla de particiones ====================
==========================================================
Disk: 0 (MBR Code: Windows 7/8/10) (Size: 298.1 GB) (Disk ID: 0007C321)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=100.7 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=3.7 GB) - (Type=82)
Partition 4: (Not Active) - (Size=193.6 GB) - (Type=07 NTFS)
==================== Final Addition.txt =======================Eson son los dos, gracias por la ayuda, saludos!
Hola
No descargaste y ejecutaste FRST desde el escritorio como te indiqué, muevelo allí si no fallará el paso siguiente.
MUY Importante 
Realiza una copia de seguridad del registro :
Para hacerlo descarga DelFix.exe( en tu escritorio).
Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).
Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.
Pulsar en Run.
Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.
A continuación 
con los demás programas cerrados ve a Inicio Ejecutar y escribe Notepad.exe.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM\...\Run: [Explorer] => c:\windows\system\explorer.exe RU <==== ATENCIÓN
HKLM\...\Run: [Svchost] => c:\windows\system\svchost.exe [211993 2020-02-25] (Microsoft) [Archivo no firmado] <==== ATENCIÓN
HKLM\...\RunOnce: [Explorer] => c:\windows\system\explorer.exe RO <==== ATENCIÓN
HKLM\...\RunOnce: [Svchost] => c:\windows\system\svchost.exe [211993 2020-02-25] (Microsoft) [Archivo no firmado] <==== ATENCIÓN
HKLM\...\Winlogon: [Userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe <==== ATENCIÓN
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {9475dc47-23de-11e2-a34e-eca86b478452} - F:\AutoRun.exe
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {d3a32df3-23dc-11e2-8eb2-809b20c1c648} - F:\autorun.exe
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {d4d45ae0-23dc-11e2-b160-c200629031b0} - E:\autorun.exe
AlternateShell:
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
CHR Extension: (Chrome Cleaner Pro) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccjleegmemocfpghkhpjmiccjcacackp [2017-10-06]
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-05-10]
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-31]
CHR HKLM\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp]
S3 BstkDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X]
S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
ENDGuárdalo bajo el nombre de FIXLIST.TXT en el escritorio Esto es muy importante.
Nota Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.
Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.
Pega el contenido de este fichero en tu próxima respuesta.
Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.
Un saludo
Resultados de la corrección de Farbar Recovery Scan Tool (x86) Versión: 26-02-2020
Ejecutado por Jeremmyaraujo (28-02-2020 21:15:35) Run:1
Ejecutado desde C:\Users\Jeremmyaraujo\Music\Desktop
Perfiles cargados: Jeremmyaraujo (Perfiles disponibles: Jeremmyaraujo)
Modo de Inicio: Safe Mode (minimal)
==============================================
fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM\...\Run: [Explorer] => c:\windows\system\explorer.exe RU <==== ATENCI�N
HKLM\...\Run: [Svchost] => c:\windows\system\svchost.exe [211993 2020-02-25] (Microsoft) [Archivo no firmado] <==== ATENCI�N
HKLM\...\RunOnce: [Explorer] => c:\windows\system\explorer.exe RO <==== ATENCI�N
HKLM\...\RunOnce: [Svchost] => c:\windows\system\svchost.exe [211993 2020-02-25] (Microsoft) [Archivo no firmado] <==== ATENCI�N
HKLM\...\Winlogon: [Userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe <==== ATENCI�N
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {9475dc47-23de-11e2-a34e-eca86b478452} - F:\AutoRun.exe
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {d3a32df3-23dc-11e2-8eb2-809b20c1c648} - F:\autorun.exe
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\...\MountPoints2: {d4d45ae0-23dc-11e2-b160-c200629031b0} - E:\autorun.exe
AlternateShell:
CHR HKLM\SOFTWARE\Policies\Google: Restricci�n <==== ATENCI�N
CHR Extension: (Chrome Cleaner Pro) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccjleegmemocfpghkhpjmiccjcacackp [2017-10-06]
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-05-10]
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-31]
CHR HKLM\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp]
S3 BstkDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X]
S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END
*****************
Error: El punto de restauración solamente puede ser creado en modo normal.
Procesos cerrados correctamente.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Explorer" => no encontrado
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Svchost" => no encontrado
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Explorer" => eliminado correctamente
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Svchost" => eliminado correctamente
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"="C:\Windows\system32\userinit.exe," => valor restaurado correctamente
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9475dc47-23de-11e2-a34e-eca86b478452} => eliminado correctamente
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3a32df3-23dc-11e2-8eb2-809b20c1c648} => eliminado correctamente
HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4d45ae0-23dc-11e2-b160-c200629031b0} => eliminado correctamente
HKLM\System\CurrentControlSet\Control\SafeBoot\\"AlternateShell"="cmd.exe" => valor restaurado correctamente
HKLM\SOFTWARE\Policies\Google => eliminado correctamente
CHR Extension: (Chrome Cleaner Pro) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccjleegmemocfpghkhpjmiccjcacackp [2017-10-06] => Error: Ninguna corrección automática encontrada para esta entrada.
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-05-10] => Error: Ninguna corrección automática encontrada para esta entrada.
CHR Extension: (Chrome Media Router) - C:\Users\Jeremmyaraujo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-31] => Error: Ninguna corrección automática encontrada para esta entrada.
HKLM\SOFTWARE\Google\Chrome\Extensions\ccjleegmemocfpghkhpjmiccjcacackp => eliminado correctamente
HKLM\System\CurrentControlSet\Services\BstkDrv => eliminado correctamente
BstkDrv => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\RSUSBSTOR => eliminado correctamente
RSUSBSTOR => servicio eliminado correctamente
HKLM\System\CurrentControlSet\Services\VGPU => eliminado correctamente
VGPU => servicio eliminado correctamente
C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
========= Final de RemoveProxy: =========
========= netsh winsock reset =========
El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.
========= Final de CMD: =========
========= ipconfig /renew =========
Configuraci¢n IP de Windows
========= Final de CMD: =========
========= ipconfig /flushdns =========
Configuraci¢n IP de Windows
No se puede vaciar la cach‚ de resoluci¢n de DNS: Error de una funci¢n durante la ejecuci¢n.
========= Final de CMD: =========
========= bitsadmin /reset /allusers =========
BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.
BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.
Unable to connect to BITS - 0x8007042c
No se puede iniciar el servicio o grupo de dependencia.
========= Final de CMD: =========
========= netsh advfirewall reset =========
Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est ejecutando e intente la solicitud de nuevo.
========= Final de CMD: =========
========= netsh advfirewall set allprofiles state ON =========
Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est ejecutando e intente la solicitud de nuevo.
========= Final de CMD: =========
========= netsh int ipv4 reset =========
No hay valores configurados por el usuario para restablecer.
========= Final de CMD: =========
========= netsh int ipv6 reset =========
No hay valores configurados por el usuario para restablecer.
========= Final de CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17123350 B
Java, Flash, Steam htmlcache => 16779042 B
Windows/system/drivers => 11702 B
Edge => 0 B
Chrome => 103474599 B
Firefox => 39566205 B
Opera => 568479004 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 16802 B
LocalService => 16802 B
NetworkService => 23202 B
Jeremmyaraujo => 15973260 B
RecycleBin => 9365563 B
EmptyTemp: => 743.1 MB datos temporales Eliminados.
================================
El sistema necesita reiniciarse.
==== Final Fixlog 21:16:40 ====sigue el mismo mrsys escondiendose en mi disco c, svschost y explorer siguen, los procesos con nombres raros ya no estan. siguen saliendo archivos que no se dejan borrar o los borro y vuelven a aparecer
Hola
Qué archivos no te deja borrar o vuelven a aparecer?
Haz una captura de pantalla y sube la imagen.
Un saludo
y hay otros que estan ocultos y no se pueden hacer visibles, siempre andan ocultos (nada mas se ven cuando aplicas la configuración, si le das a aceptar se vuelven a ocultar) adjunto las otras locaciones
Hola
MUY Importante Realiza una copia de seguridad del registro :
Para hacerlo descarga DelFix.exe( en tu escritorio).
Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).
Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.
Pulsar en Run.
Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.
A continuación con los demás programas cerrados ve a Inicio Ejecutar y escribe Notepad.exe.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM\Software\Microsoft\Active Setup\Installed Components: [{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}] -> C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe [2020-02-25] (Microsoft) [Archivo no firmado]
2020-02-25 19:35 - 2020-02-25 22:15 - 000211949 __RSH (Microsoft) C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe
c:\windows\system\explorer.exe
c:\windows\system\svchost.exe
c:\program files\microsoft\desktoplayer.exe
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
ENDGuárdalo bajo el nombre de FIXLIST.TXT en el escritorio Esto es muy importante.
Nota Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.
Y ahora inicia en modo seguro para trabajar desde ese modo de windows.
Pega el contenido de este fichero en tu próxima respuesta.
Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.
Un saludo
Hola @Susej_Susowski
Resultados de la corrección de Farbar Recovery Scan Tool (x86) Versión: 26-02-2020
Ejecutado por Jeremmyaraujo (01-03-2020 14:24:35) Run:2
Ejecutado desde c:\Users\jeremmyaraujo\Music\Desktop
Perfiles cargados: Jeremmyaraujo (Perfiles disponibles: Jeremmyaraujo)
Modo de Inicio: Safe Mode (minimal)
==============================================
fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM\Software\Microsoft\Active Setup\Installed Components: [{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}] -> C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe [2020-02-25] (Microsoft) [Archivo no firmado]
2020-02-25 19:35 - 2020-02-25 22:15 - 000211949 __RSH (Microsoft) C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END
*****************
Error: El punto de restauración solamente puede ser creado en modo normal.
Procesos cerrados correctamente.
HKLM\Software\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999} => eliminado correctamente
C:\Users\Jeremmyaraujo\AppData\Roaming\mrsys.exe => movido correctamente
C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2007294222-2133950855-1524518008-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
========= Final de RemoveProxy: =========
========= netsh winsock reset =========
El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.
========= Final de CMD: =========
========= ipconfig /renew =========
Configuraci¢n IP de Windows
========= Final de CMD: =========
========= ipconfig /flushdns =========
Configuraci¢n IP de Windows
No se puede vaciar la cach‚ de resoluci¢n de DNS: Error de una funci¢n durante la ejecuci¢n.
========= Final de CMD: =========
========= bitsadmin /reset /allusers =========
BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.
BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.
Unable to connect to BITS - 0x8007042c
No se puede iniciar el servicio o grupo de dependencia.
========= Final de CMD: =========
========= netsh advfirewall reset =========
Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est ejecutando e intente la solicitud de nuevo.
========= Final de CMD: =========
========= netsh advfirewall set allprofiles state ON =========
Error al intentar ponerse en contacto con el servicio Firewall de Windows. Aseg£rese de que el servicio se est ejecutando e intente la solicitud de nuevo.
========= Final de CMD: =========
========= netsh int ipv4 reset =========
No hay valores configurados por el usuario para restablecer.
========= Final de CMD: =========
========= netsh int ipv6 reset =========
No hay valores configurados por el usuario para restablecer.
========= Final de CMD: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 3473364 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 422 B
Edge => 0 B
Chrome => 0 B
Firefox => 15067928 B
Opera => 484756137 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 640 B
Jeremmyaraujo => 3314132 B
RecycleBin => 512924746 B
EmptyTemp: => 980.3 MB datos temporales Eliminados.
================================
El sistema necesita reiniciarse.
==== Final Fixlog 14:25:07 ====