• Registrarse
  • Iniciar sesión


  • Página 1 de 4 1234 ÚltimoÚltimo
    Resultados 1 al 10 de 38

    PC infectado, dejo logs de análisis.(Solucionado)

    ...

          
    1. #1
      Usuario Avatar de TotusTuus
      Registrado
      sep 2014
      Ubicación
      Colombia
      Mensajes
      64

      PC infectado, dejo logs de análisis.(Solucionado)

      Hola a todos como el PC se infectó les dejo los logs de análisis para que por favor me ayuden a limpiarlo. Se trata de un Windows 7 Professional de 64 bits.

      Síntomas:
      -El pasado viernes por la noche la conexión de Internet se ralentizo como si fuera una conexión antigua de las de línea telefónica.
      -Al día siguiente Panda Antivirus detecto un Virus/a W32/Exploit.gen. Localizado en: C:\ProgramData\KerishProducts\KerishDoctor\Update\KerishDoctor.exe y decidí hacer un análisis en línea con ESET Online Scanner que detecto y elimino 4 malwares; actualmente Panda está eliminado del PC.
      -Debido a lo anterior decidí hacer un análisis con Avira Antivirus que no detecto nada y luego sacar los logs de análisis que les coloco enseguida. Otro síntoma es que en cualquier momento sacaba mensajes solicitando permiso para descargar cosas que yo nunca había solicitado lo cual obviamente cancelaba.

      Preguntas adicionales:
      -¿Sería bueno agregar un Firewall a Avira Antivirus o no?
      -¿Los programas VLC media player y Adobe Shockwave Player son necesarios para el PC o se pueden desinstalar?
      -¿El Google Chrome es necesario para aplicaciones que no funcionan sin él o se puede desinstalar?
      -¿Hasta qué fecha Microsoft realizara actualizaciones para Windows 7?

      A continuación los logs del análisis: Todos están hechos en modo a prueba de fallos menos el ESET Online Scanner y el JRT.

      Log de Rkill:
      Rkill 2.9.1 by Lawrence Abrams (Grinler)
      http://www.bleepingcomputer.com/
      Copyright 2008-2017 BleepingComputer.com
      More Information about Rkill can be found at this link:
      http://www.bleepingcomputer.com/forums/topic308364.html

      Program started at: 11/12/2017 08:26:28 PM in x64 mode. (Safe Mode)
      Windows Version: Windows 7 Professional Service Pack 1

      Checking for Windows services to stop:

      * No malware services found to stop.

      Checking for processes to terminate:

      * No malware processes found to kill.

      Checking Registry for malware related settings:

      * No issues found in the Registry.

      Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

      Performing miscellaneous checks:

      * Windows Defender Disabled

      [HKLM\SOFTWARE\Microsoft\Windows Defender]
      "DisableAntiSpyware" = dword:00000001

      Searching for Missing Digital Signatures:

      * No issues found.

      Checking HOSTS File:

      * No issues found.

      Program finished at: 11/12/2017 08:26:50 PM
      Execution time: 0 hours(s), 0 minute(s), and 22 seconds(s)

      Log de Malwarebytes:
      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 12/11/17
      Hora del análisis: 20:29
      Archivo de registro: 165639b5-c812-11e7-8ea8-000000000000.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.236
      Versión del paquete de actualización: 1.0.3238
      Licencia: Prueba

      -Información del sistema-
      SO: Windows 7 Service Pack 1
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: RosaMCastrillon\Rosa M Castrillon

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Completado
      Objetos analizados: 330292
      Amenazas detectadas: 25
      Amenazas en cuarentena: 25
      Tiempo transcurrido: 3 min, 17 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Desactivado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 23
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\REI_AxControl.DLL, En cuarentena, [1069], [327193],1.0.3238
      PUP.Optional.Reimage, HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\SOFTWARE\Reimage, En cuarentena, [1069], [357494],1.0.3238
      PUP.Optional.Reimage, HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\SOFTWARE\REIMAGE\PC REPAIR, En cuarentena, [1069], [327204],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\REI_AxControl.ReiEngine.1, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{10ECCE17-29B5-4880-A8F5-EAD298611484}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\TYPELIB\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\INTERFACE\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\INTERFACE\{BD51A48E-EB5F-4454-8774-EF962DF64546}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{BD51A48E-EB5F-4454-8774-EF962DF64546}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{BD51A48E-EB5F-4454-8774-EF962DF64546}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\REI_AxControl.ReiEngine, En cuarentena, [1069], [327197],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\APPID\REI_AxControl.DLL, En cuarentena, [1069], [327193],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\REI_AxControl.DLL, En cuarentena, [1069], [327193],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\REIMAGE\Reimage Repair, En cuarentena, [1069], [336077],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\APPID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}, En cuarentena, [1069], [332494],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}, En cuarentena, [1069], [332494],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}, En cuarentena, [1069], [332494],1.0.3238
      PUP.Optional.Reimage, HKLM\SOFTWARE\CLASSES\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}, En cuarentena, [1069], [327206],1.0.3238

      Valor del registro: 1
      PUP.Optional.Reimage, HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\SOFTWARE\REIMAGE\PC REPAIR|QUITMESSAGE, En cuarentena, [1069], [327204],1.0.3238

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 1
      PUP.Optional.ASK, C:\USERS\ROSA M CASTRILLON\DOWNLOADS\ATUBE_CATCHER_NOAD_9152.EXE, En cuarentena, [527], [398182],1.0.3238

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)


      Log de AdwCleaner:
      # AdwCleaner 7.0.4.0 - Logfile created on Mon Nov 13 01:48:14 2017
      # Updated on 2017/27/10 by Malwarebytes
      # Database: 10-28-2017.1
      # Running on Windows 7 Professional (X64)
      # Mode: scan
      # Support: https://www.malwarebytes.com/support

      ***** [ Services ] *****

      No malicious services found.

      ***** [ Folders ] *****

      No malicious folders found.

      ***** [ Files ] *****

      No malicious files found.

      ***** [ DLL ] *****

      No malicious DLLs found.

      ***** [ WMI ] *****

      No malicious WMI found.

      ***** [ Shortcuts ] *****

      No malicious shortcuts found.

      ***** [ Tasks ] *****

      No malicious tasks found.

      ***** [ Registry ] *****

      PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}
      PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Lavasoft\Web Companion
      PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\Lavasoft\Web Companion
      PUP.Optional.Legacy, [Key] - HKCU\Software\Lavasoft\Web Companion
      PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
      PUP.Optional.Reimage, [Key] - HKLM\SOFTWARE\Reimage
      PUP.Optional.Vittalia, [Key] - HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\Vittalia
      PUP.Optional.Vittalia, [Key] - HKCU\Software\Vittalia
      PUP.Optional.DriverPack, [Key] - HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\drpsu
      PUP.Optional.DriverPack, [Key] - HKCU\Software\drpsu


      ***** [ Firefox (and derivatives) ] *****

      PUP.Optional.Legacy, Plugin found: Avira SafeSearch Plus - Avira


      ***** [ Chromium (and derivatives) ] *****

      No malicious Chromium entries.

      *************************



      ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########
      ---------------------------------------------------------------------------------------------
      # AdwCleaner 7.0.4.0 - Logfile created on Mon Nov 13 01:50:07 2017
      # Updated on 2017/27/10 by Malwarebytes
      # Running on Windows 7 Professional (X64)
      # Mode: clean
      # Support: https://www.malwarebytes.com/support

      ***** [ Services ] *****

      No malicious services deleted.

      ***** [ Folders ] *****

      No malicious folders deleted.

      ***** [ Files ] *****

      No malicious files deleted.

      ***** [ DLL ] *****

      No malicious DLLs cleaned.

      ***** [ WMI ] *****

      No malicious WMI cleaned.

      ***** [ Shortcuts ] *****

      No malicious shortcuts cleaned.

      ***** [ Tasks ] *****

      No malicious tasks deleted.

      ***** [ Registry ] *****

      Deleted: [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}
      Deleted: [Key] - HKLM\SOFTWARE\Lavasoft\Web Companion
      Deleted: [Key] - HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\Lavasoft\Web Companion
      Deleted: [Key] - HKCU\Software\Lavasoft\Web Companion
      Deleted: [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
      Deleted: [Key] - HKLM\SOFTWARE\Reimage
      Deleted: [Key] - HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\Vittalia
      Deleted: [Key] - HKCU\Software\Vittalia
      Deleted: [Key] - HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\drpsu
      Deleted: [Key] - HKCU\Software\drpsu


      ***** [ Firefox (and derivatives) ] *****

      Plugin deleted: Avira SafeSearch Plus - Avira


      ***** [ Chromium (and derivatives) ] *****

      No malicious Chromium entries deleted.

      *************************

      ::Tracing keys deleted
      ::Winsock settings cleared
      ::Additional Actions: 0



      *************************

      C:/AdwCleaner/AdwCleaner[S0].txt - [1817 B] - [2017/11/13 1:48:14]


      ########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########


      Log de JRT:Realizado en modo normal porque no me acorde que al abrirlo inmediatamente se ejecutaba, luego lo repetí en modo seguro pero no encontró nada.

      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Junkware Removal Tool (JRT) by Malwarebytes
      Version: 8.1.4 (07.09.2017)
      Operating System: Windows 7 Professional x64
      Ran by Rosa M Castrillon (Administrator) on 12/11/2017 at 19:25:53.94
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




      File System: 21

      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441\extensions\[email protected]\data\search.xml (File)
      Successfully deleted: C:\Windows\reimage.ini (File)
      Successfully deleted: C:\Windows\system32\Tasks\AviraSystemSpeedupUpdate (Task)
      Successfully deleted: C:\Windows\system32\Tasks\Driver Easy Scheduled Scan (Task)
      Successfully deleted: C:\Windows\Tasks\Driver Easy Scheduled Scan.job (Task)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3RSXU3Q2 (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A4QBB0IF (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JO3PZ8N7 (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MDNLC17L (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3RSXU3Q2 (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A4QBB0IF (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JO3PZ8N7 (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MDNLC17L (Temporary Internet Files Folder)



      Registry: 2

      Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\Search\\SearchAssistant (Registry Value)
      Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C0C3A6C6-03BC-4195-8FCB-AEA091301353} (Registry Key)




      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Scan was completed on 12/11/2017 at 19:30:04.21
      End of JRT log
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

      Log de ESET Online Scanner: Realizado en modo normal y repetido luego de salir del modo seguro pero no encontró nada.
      C:\AKickDocumentConverter19-db94se\produkey.zip una variante de Win32/PSWTool.ProductKey.D aplicación potencialmente no segura eliminado
      C:\Program Files (x86)\Panda Security\Panda Security Protection\Tools\PandaSecurityTb.exe Win32/Toolbar.Visicom.G aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.A aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.B aplicación potencialmente no deseada,una variante de Win64/Toolbar.Visicom.A aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.C aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.E aplicación potencialmente no deseada,una variante de Win64/NetFilter.A aplicación potencialmente no segura,una variante de Win32/NetFilter.A aplicación potencialmente no segura desinfectado por eliminación
      C:\ProgramData\Panda Security\Panda Security Protection\Download\0x04011000\PSP_UPG_4151_16.xx.xx_18.01.00_0.exe Win32/Toolbar.Visicom.G aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.A aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.B aplicación potencialmente no deseada,una variante de Win64/Toolbar.Visicom.A aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.C aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.E aplicación potencialmente no deseada,una variante de Win64/NetFilter.A aplicación potencialmente no segura,una variante de Win32/NetFilter.A aplicación potencialmente no segura desinfectado por eliminación
      C:\Util\ProduKey\ProduKey.exe una variante de Win32/PSWTool.ProductKey.D aplicación potencialmente no segura desinfectado por eliminación



      Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 12-11-2017 03
      Ran by Rosa M Castrillon (administrator) on ROSAMCASTRILLON (12-11-2017 21:04:32)
      Running from C:\Users\Rosa M Castrillon\Desktop
      Loaded Profiles: Rosa M Castrillon (Available Profiles: Rosa M Castrillon)
      Platform: Windows 7 Professional Service Pack 1 (X64) Language: Español (España, internacional)
      Internet Explorer Version 11 (Default browser: FF)
      Boot Mode: Safe Mode (minimal)
      Tutorial for Farbar Recovery Scan Tool: ***********************************************************************************************************

      ==================== Processes (Whitelisted) =================

      (If an entry is included in the fixlist, the process will be closed. The file will not be moved.)

      (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
      (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
      (Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe

      ==================== Registry (Whitelisted) ===========================

      (If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

      HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [3017456 2013-07-30] (Synaptics Incorporated)
      HKLM-x32\...\Run: [Avira System Speedup User Starter] => C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Core.Common.Starter.exe [65120 2017-10-05] (Avira Operations GmbH & Co. KG)
      HKLM-x32\...\Run: [Avira Safe Shopping] => C:\Program Files (x86)\Avira\Safe Shopping\Avira Safe Shopping.exe [546960 2017-10-30] (Avira Operations Gmbh & Co. KG)
      Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[C0].tx
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\scrnsave.scr [11264 2009-07-13] (Microsoft Corporation)
      Startup: C:\Users\Rosa M Castrillon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zSpeedup.lnk [2017-11-12]
      ShortcutTarget: zSpeedup.lnk -> C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Core.Common.Starter.exe (Avira Operations GmbH & Co. KG)
      GroupPolicyScripts: Restriction <==== ATTENTION

      ==================== Internet (Whitelisted) ====================

      (If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)

      Tcpip\Parameters: [DhcpNameServer] 200.13.249.101 200.31.208.101
      Tcpip\..\Interfaces\{3F66D715-CAAC-4DEF-81C6-31F9F3F12E32}: [DhcpNameServer] 200.13.249.101 200.31.208.101

      Internet Explorer:
      ==================
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/es-us
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
      SearchScopes: HKU\S-1-5-21-3096733655-4183173044-1789290592-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
      BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
      BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_151\bin\ssv.dll [2017-11-11] (Oracle Corporation)
      BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
      BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_151\bin\jp2ssv.dll [2017-11-11] (Oracle Corporation)
      BHO-x32: ChromeFrame BHO -> {ECB3C477-1A0A-44BD-BB57-78F9EFE34FA7} -> C:\Program Files (x86)\Google\Chrome Frame\Application\24.0.1312.71\npchrome_frame.dll [2013-02-14] (Google Inc.)
      DPF: HKLM-x32 {233C1507-6A77-46A4-9443-F871F945D258} hxxps://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab
      Handler-x32: gcf - {9875BFAF-B04D-445E-8A69-BE36838CDE3E} - C:\Program Files (x86)\Google\Chrome Frame\Application\24.0.1312.71\npchrome_frame.dll [2013-02-14] (Google Inc.)

      FireFox:
      ========
      FF DefaultProfile: xhtaza74.default-1490483075583-1502592103441
      FF ProfilePath: C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441 [2017-11-12]
      FF Homepage: Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441 -> hxxps://www.google.com/?gfe_rd=cr&ei=HlHrV9mzLpDQ8Aew_oq4Cg&gws_rd=ssl,cr&fg=1
      FF Extension: (Avira Browser Safety) - C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441\Extensions\[email protected] [2017-11-12]
      FF Extension: (Avira Password Manager) - C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441\Extensions\[email protected] [2017-11-12]
      FF Extension: (Avira SafeSearch Plus) - C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441\Extensions\[email protected] [2017-11-12]
      FF Extension: (Safe Browsing Version 4 (temporary add-on)) - C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441\Extensions\[email protected] [2017-11-08]
      FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_27_0_0_183.dll [2017-11-08] ()
      FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
      FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.50907.0\npctrl.dll [2017-05-03] ( Microsoft Corporation)
      FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\Microsoft Office\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
      FF Plugin: @videolan.org/vlc,version=2.2.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2017-05-24] (VideoLAN)
      FF Plugin: @videolan.org/vlc,version=2.2.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2017-05-24] (VideoLAN)
      FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_27_0_0_183.dll [2017-11-08] ()
      FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1229199.dll [2017-03-31] (Adobe Systems, Inc.)
      FF Plugin-x32: @java.com/DTPlugin,version=11.151.2 -> C:\Program Files (x86)\Java\jre1.8.0_151\bin\dtplugin\npDeployJava1.dll [2017-11-11] (Oracle Corporation)
      FF Plugin-x32: @java.com/JavaPlugin,version=11.151.2 -> C:\Program Files (x86)\Java\jre1.8.0_151\bin\plugin2\npjp2.dll [2017-11-11] (Oracle Corporation)
      FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
      FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.50907.0\npctrl.dll [2017-05-03] ( Microsoft Corporation)
      FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\Microsoft Office\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
      FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\Microsoft Office\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
      FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-04-28] (Google Inc.)
      FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-04-28] (Google Inc.)
      FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AIR\nppdf32.dll [2017-08-10] (Adobe Systems Inc.)

      Chrome:
      =======
      CHR DefaultProfile: Profile 1
      CHR Profile: C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Default [2017-11-12]
      CHR Extension: (Chrome Media Router) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-07]
      CHR Profile: C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1 [2017-09-30]
      CHR Extension: (Presentaciones de Google) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-03-24]
      CHR Extension: (Google Docs) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aohghmighlieiainnegkcijnfilokake [2017-03-24]
      CHR Extension: (Google Drive) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-03-24]
      CHR Extension: (YouTube) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-03-24]
      CHR Extension: (Hojas de cálculo de Google) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-03-24]
      CHR Extension: (Documentos de Google sin conexión) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-03-24]
      CHR Extension: (Sistema de pagos de Chrome Web Store) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-09-04]
      CHR Extension: (Gmail) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-03-24]
      CHR Extension: (Chrome Media Router) - C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-09-26]
      CHR Profile: C:\Users\Rosa M Castrillon\AppData\Local\Google\Chrome\User Data\System Profile [2017-03-24]
      CHR HKLM\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx

      ==================== Services (Whitelisted) ====================

      (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

      S2 AntiVirMailService; C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe [1128432 2017-10-06] (Avira Operations GmbH & Co. KG)
      S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\Antivirus\sched.exe [490968 2017-10-06] (Avira Operations GmbH & Co. KG)
      S2 AntiVirService; C:\Program Files (x86)\Avira\Antivirus\avguard.exe [490968 2017-10-06] (Avira Operations GmbH & Co. KG)
      S2 AntiVirWebService; C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe [1525240 2017-10-06] (Avira Operations GmbH & Co. KG)
      S2 Avira.ServiceHost; C:\Program Files (x86)\Avira\Launcher\Avira.ServiceHost.exe [413592 2017-11-02] (Avira Operations GmbH & Co. KG)
      S2 AviraPhantomVPN; C:\Program Files (x86)\Avira\VPN\Avira.VpnService.exe [332016 2017-10-25] (Avira Operations GmbH & Co. KG)
      S2 AviraUpdaterService; C:\Program Files (x86)\Avira\SoftwareUpdater\Avira.SoftwareUpdater.ServiceHost.exe [101792 2017-11-08] (Avira Operations GmbH & Co. KG)
      R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [6234056 2017-11-01] (Malwarebytes)
      S2 SpeedupService; C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.SpeedupService.exe [75312 2017-10-05] (Avira Operations GmbH & Co. KG)
      S2 TeamViewer; C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe [10885360 2017-05-31] (TeamViewer GmbH)
      S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

      ===================== Drivers (Whitelisted) ======================

      (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

      R0 avdevprot; C:\Windows\System32\DRIVERS\avdevprot.sys [64504 2017-10-06] (Avira Operations GmbH & Co. KG)
      S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [194272 2017-10-06] (Avira Operations GmbH & Co. KG)
      S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [151128 2017-10-06] (Avira Operations GmbH & Co. KG)
      S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [35328 2017-10-06] (Avira Operations GmbH & Co. KG)
      S2 avnetflt; C:\Windows\System32\DRIVERS\avnetflt.sys [78600 2017-10-06] (Avira Operations GmbH & Co. KG)
      R0 avusbflt; C:\Windows\System32\Drivers\avusbflt.sys [34128 2017-10-06] (Avira Operations GmbH & Co. KG)
      S2 DgiVecp; C:\Windows\system32\Drivers\DgiVecp.sys [53816 2009-03-02] (Samsung Electronics Co., Ltd.)
      R0 iaStorF; C:\Windows\System32\DRIVERS\iaStorF.sys [28008 2017-09-23] (Intel Corporation)
      S2 inpoutx64; C:\Windows\System32\Drivers\inpoutx64.sys [15008 2017-05-17] (Highresolution Enterprises [www.highrez.co.uk])
      R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [193464 2017-11-12] (Malwarebytes)
      S3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [110016 2017-11-12] (Malwarebytes)
      S3 MBAMProtection; C:\Windows\System32\DRIVERS\mbam.sys [46008 2017-11-12] (Malwarebytes)
      R3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [253880 2017-11-12] (Malwarebytes)
      S3 MBAMWebProtection; C:\Windows\System32\DRIVERS\mwac.sys [84256 2017-11-12] (Malwarebytes)
      R3 MEIx64; C:\Windows\System32\DRIVERS\TeeDriverx64.sys [181304 2016-03-28] (Intel Corporation)
      S3 phantomtap; C:\Windows\System32\DRIVERS\phantomtap.sys [35664 2017-10-25] (The OpenVPN Project)
      R3 RTSUER; C:\Windows\System32\Drivers\RtsUer.sys [420832 2017-09-23] (Realsil Semiconductor Corporation)
      S3 SmbDrvI; C:\Windows\System32\DRIVERS\Smb_driver_Intel.sys [33960 2015-05-29] (Synaptics Incorporated)
      S3 USBAAPL64; C:\Windows\System32\Drivers\usbaapl64.sys [54784 2016-03-28] (Apple, Inc.) [File not signed]
      S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
      S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
      S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
      S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
      S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
      S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]

      ==================== NetSvcs (Whitelisted) ===================

      (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)


      ==================== One Month Created files and folders ========

      (If an entry is included in the fixlist, the file/folder will be moved.)

      2017-11-12 21:04 - 2017-11-12 21:05 - 000014687 _____ C:\Users\Rosa M Castrillon\Desktop\FRST.txt
      2017-11-12 21:03 - 2017-11-12 21:04 - 000000000 ____D C:\FRST
      2017-11-12 20:26 - 2017-11-12 20:26 - 000002138 _____ C:\Users\Rosa M Castrillon\Desktop\Rkill.txt
      2017-11-12 20:13 - 2017-11-12 20:13 - 000000000 ____D C:\Windows\pss
      2017-11-12 19:44 - 2017-11-12 19:44 - 002392576 _____ (Farbar) C:\Users\Rosa M Castrillon\Desktop\FRST64.exe
      2017-11-12 19:30 - 2017-11-12 20:56 - 000000560 _____ C:\Users\Rosa M Castrillon\Desktop\JRT.txt
      2017-11-12 19:24 - 2017-11-12 19:24 - 001790024 _____ (Malwarebytes) C:\Users\Rosa M Castrillon\Desktop\JRT.exe
      2017-11-12 19:20 - 2017-11-12 20:52 - 000000000 ____D C:\AdwCleaner
      2017-11-12 19:19 - 2017-11-12 19:19 - 008261584 _____ (Malwarebytes) C:\Users\Rosa M Castrillon\Desktop\adwcleaner_7.0.4.0.exe
      2017-11-12 19:09 - 2017-11-12 20:51 - 000253880 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
      2017-11-12 19:09 - 2017-11-12 20:51 - 000193464 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
      2017-11-12 19:09 - 2017-11-12 20:51 - 000046008 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbam.sys
      2017-11-12 19:09 - 2017-11-12 20:28 - 000002032 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
      2017-11-12 19:09 - 2017-11-12 19:12 - 000084256 _____ (Malwarebytes) C:\Windows\system32\Drivers\mwac.sys
      2017-11-12 19:09 - 2017-11-12 19:09 - 000110016 _____ (Malwarebytes) C:\Windows\system32\Drivers\farflt.sys
      2017-11-12 19:09 - 2017-11-12 19:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes
      2017-11-12 19:09 - 2017-11-01 08:54 - 000077432 _____ C:\Windows\system32\Drivers\mbae64.sys
      2017-11-12 19:08 - 2017-11-12 19:08 - 000000000 ____D C:\ProgramData\Malwarebytes
      2017-11-12 19:08 - 2017-11-12 19:08 - 000000000 ____D C:\Program Files\Malwarebytes
      2017-11-12 19:01 - 2017-11-12 19:01 - 001792640 _____ (Bleeping Computer, LLC) C:\Users\Rosa M Castrillon\Desktop\iExplore.exe
      2017-11-12 18:46 - 2017-11-12 18:46 - 000003872 _____ C:\Windows\System32\Tasks\CCleaner Update
      2017-11-12 18:46 - 2017-11-12 18:46 - 000002828 _____ C:\Windows\System32\Tasks\CCleanerSkipUAC
      2017-11-12 18:46 - 2017-11-12 18:46 - 000000824 _____ C:\Users\Public\Desktop\CCleaner.lnk
      2017-11-12 18:46 - 2017-11-12 18:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
      2017-11-12 18:46 - 2017-11-12 18:46 - 000000000 ____D C:\Program Files\CCleaner
      2017-11-12 18:42 - 2017-11-12 18:42 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Local\Avira
      2017-11-12 17:41 - 2017-11-12 20:54 - 000000000 ____D C:\Users\Rosa M Castrillon\Documents\Procedimientos Nov-2017
      2017-11-12 15:20 - 2017-11-12 15:20 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Local\Avira Operations Gmbh & Co. KG
      2017-11-12 15:19 - 2017-11-12 15:19 - 000003546 _____ C:\Windows\System32\Tasks\Avira Safe Shopping Updater
      2017-11-12 15:19 - 2017-11-12 15:19 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Local\Avira_Operations_Gmbh_&_C
      2017-11-12 15:18 - 2017-11-12 20:14 - 000003292 _____ C:\Windows\System32\Tasks\Avira_Antivirus_Systray
      2017-11-12 15:18 - 2017-11-12 15:18 - 000000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_avusbflt_01011.Wdf
      2017-11-12 15:18 - 2017-10-06 14:15 - 000194272 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
      2017-11-12 15:18 - 2017-10-06 14:15 - 000151128 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
      2017-11-12 15:18 - 2017-10-06 14:15 - 000078600 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avnetflt.sys
      2017-11-12 15:18 - 2017-10-06 14:15 - 000064504 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avdevprot.sys
      2017-11-12 15:18 - 2017-10-06 14:15 - 000035328 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avkmgr.sys
      2017-11-12 15:18 - 2017-10-06 14:15 - 000034128 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avusbflt.sys
      2017-11-12 15:14 - 2017-11-12 15:14 - 000000000 ____D C:\Windows\System32\Tasks\Avira
      2017-11-12 15:13 - 2017-11-12 20:14 - 000000000 ____D C:\Users\Public\Speedup Sessions
      2017-11-12 15:11 - 2017-11-12 15:19 - 000000000 ____D C:\Program Files (x86)\Avira
      2017-11-12 15:11 - 2017-11-12 15:18 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
      2017-11-12 15:11 - 2017-11-12 15:18 - 000000000 ____D C:\ProgramData\Avira
      2017-11-12 15:11 - 2017-11-12 15:11 - 000003122 _____ C:\Windows\System32\Tasks\Avira SystrayStartTrigger
      2017-11-12 15:11 - 2017-11-12 15:11 - 000001200 _____ C:\Users\Public\Desktop\Avira.lnk
      2017-11-12 14:31 - 2017-11-12 14:31 - 000447620 _____ C:\Users\Rosa M Castrillon\Documents\Detección Panda.txt
      2017-11-12 00:20 - 2017-11-12 01:01 - 000001200 _____ C:\Users\Rosa M Castrillon\Documents\Listado de procedimientos.txt
      2017-11-11 17:19 - 2017-11-11 17:19 - 000003426 _____ C:\Users\Rosa M Castrillon\Documents\Desinfección.txt
      2017-11-11 15:31 - 2017-11-11 15:31 - 006974584 _____ (ESET spol. s r.o.) C:\Users\Rosa M Castrillon\Desktop\esetonlinescanner_esl.exe
      2017-11-11 02:42 - 2017-11-11 02:42 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Roaming\Ashampoo
      2017-11-11 02:42 - 2017-11-11 02:42 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Local\ashampoo
      2017-11-11 02:41 - 2017-11-11 02:42 - 000000000 ____D C:\ProgramData\Ashampoo
      2017-11-10 22:57 - 2017-11-10 23:00 - 000033792 _____ C:\Users\Rosa M Castrillon\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
      2017-11-09 01:06 - 2017-11-09 01:06 - 000000871 _____ C:\Users\Public\Desktop\VLC media player.lnk
      2017-11-09 01:00 - 2017-11-09 01:01 - 032100680 _____ C:\Users\Rosa M Castrillon\Downloads\vlc-2.2.6-win64.exe
      2017-10-25 09:34 - 2017-10-25 09:34 - 000035664 _____ (The OpenVPN Project) C:\Windows\system32\Drivers\phantomtap.sys
      2017-10-21 20:17 - 2017-10-21 20:17 - 002993747 _____ C:\Users\Rosa M Castrillon\Documents\3. Posible secuencia de los eventos.pptx
      2017-10-21 20:17 - 2017-10-21 20:17 - 001014879 _____ C:\Users\Rosa M Castrillon\Documents\2. Las fuerzas del bien el final feliz.pptx
      2017-10-21 20:16 - 2017-10-21 20:16 - 004831652 _____ C:\Users\Rosa M Castrillon\Documents\1. La batalla final las fuerzas del mal.pptx
      2017-10-21 20:05 - 2017-10-21 20:05 - 000225600 _____ C:\Windows\system32\SBuySupplies.exe
      2017-10-21 20:05 - 2017-10-21 20:05 - 000158016 _____ C:\Windows\system32\us013ci.exe
      2017-10-21 20:05 - 2017-10-21 20:05 - 000089600 _____ (SS) C:\Windows\system32\us013ci.dll
      2017-10-21 20:05 - 2017-10-21 20:05 - 000022528 _____ () C:\Windows\system32\us013lm.dll
      2017-10-21 20:01 - 2017-10-21 20:01 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung ML-1610 Series
      2017-10-21 20:00 - 2017-10-21 20:00 - 000000000 ____D C:\Program Files (x86)\SAMSUNG
      2017-10-21 18:23 - 2017-10-21 18:23 - 006264632 _____ (Dolby Laboratories) C:\Windows\system32\DDPP64AF3.dll
      2017-10-21 18:23 - 2017-10-21 18:23 - 005346992 _____ (Dolby Laboratories) C:\Windows\system32\DolbyDAX2APOv211.dll
      2017-10-21 18:23 - 2017-10-21 18:23 - 001959592 _____ (Dolby Laboratories) C:\Windows\system32\DDPD64AF3.dll
      2017-10-21 18:23 - 2017-10-21 18:23 - 001159176 _____ (Dolby Laboratories) C:\Windows\system32\DolbyDAX2APOProp.dll
      2017-10-21 18:23 - 2017-10-21 18:23 - 000377488 _____ (Dolby Laboratories) C:\Windows\system32\HiFiDAX2API.dll
      2017-10-21 18:23 - 2017-10-21 18:23 - 000362048 _____ (Dolby Laboratories) C:\Windows\system32\DDPO64AF3.dll
      2017-10-21 18:23 - 2017-10-21 18:23 - 000310416 _____ (Dolby Laboratories) C:\Windows\system32\DDPA64F3.dll
      2017-10-21 18:22 - 2017-10-21 18:23 - 007096184 _____ (Dolby Laboratories) C:\Windows\system32\DDPP64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 011954497 _____ C:\Windows\system32\Drivers\RTAIODAT.DAT
      2017-10-21 18:22 - 2017-10-21 18:22 - 007172904 _____ (Dolby Laboratories) C:\Windows\system32\R4EEP64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 001965808 _____ (Dolby Laboratories) C:\Windows\system32\DDPD64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 001780616 _____ (DTS) C:\Windows\system32\DTSS2SpeakerDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 001591056 _____ (DTS) C:\Windows\system32\DTSS2HeadphoneDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 001508928 _____ (DTS) C:\Windows\system32\DTSBoostDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000965016 _____ (Sony Corporation) C:\Windows\system32\SFSS_APO.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000743960 _____ (DTS) C:\Windows\system32\DTSBassEnhancementDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000727432 _____ (DTS) C:\Windows\system32\DTSSymmetryDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000708304 _____ (DTS) C:\Windows\system32\DTSVoiceClarityDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000691672 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtDataProc64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000504296 _____ (DTS) C:\Windows\system32\DTSNeoPCDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000447712 _____ (Dolby Laboratories) C:\Windows\system32\R4EED64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000445392 _____ (DTS) C:\Windows\system32\DTSLimiterDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000440368 _____ (DTS) C:\Windows\system32\DTSGainCompensatorDLL64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000386416 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEEP64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000343704 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtlCPAPI64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000326560 _____ (Dolby Laboratories) C:\Windows\system32\DDPO64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000321712 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RP3DAA64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000320816 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RP3DHT64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000272712 _____ (Dolby Laboratories) C:\Windows\system32\DDPA64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000253888 _____ (DTS) C:\Windows\system32\DTSGFXAPO64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000253856 _____ (DTS) C:\Windows\system32\DTSLFXAPO64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000252872 _____ (DTS) C:\Windows\system32\DTSGFXAPONS64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000231912 _____ (Synopsys, Inc.) C:\Windows\system32\SFNHK64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000213936 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEED64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000192976 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkCfg64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000151784 _____ (Dolby Laboratories) C:\Windows\system32\R4EEL64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000134192 _____ (Dolby Laboratories) C:\Windows\system32\R4EEA64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000110976 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEEL64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000090912 _____ (Synopsys, Inc.) C:\Windows\system32\SFCOM64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000088344 _____ (Dolby Laboratories, Inc.) C:\Windows\system32\RTEEG64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000088312 _____ (Synopsys, Inc.) C:\Windows\system32\SFAPO64.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000084608 _____ (Dolby Laboratories) C:\Windows\system32\R4EEG64A.dll
      2017-10-21 18:22 - 2017-10-21 18:22 - 000083616 _____ (Virage Logic Corporation / Sonic Focus) C:\Windows\SysWOW64\SFCOM.dll
      2017-10-21 18:21 - 2017-10-21 18:22 - 001347272 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RTCOM64.dll
      2017-10-21 18:21 - 2017-10-21 18:21 - 003508304 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkApi64.dll
      2017-10-21 18:21 - 2017-10-21 18:21 - 000532376 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSTSX64.dll
      2017-10-21 18:21 - 2017-10-21 18:21 - 000221960 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSTSH64.dll
      2017-10-21 18:21 - 2017-10-21 18:21 - 000209528 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSHP64.dll
      2017-10-21 18:21 - 2017-10-21 18:21 - 000166200 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSWOW64.dll
      2017-10-21 18:20 - 2017-10-21 18:21 - 072520704 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RCoRes64.dat
      2017-10-21 18:20 - 2017-10-21 18:20 - 003561408 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RltkAPO64.dll
      2017-10-21 18:20 - 2017-10-21 18:20 - 003205120 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtPgEx64.dll
      2017-10-21 18:20 - 2017-10-21 18:20 - 002923488 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RCoInstII64.dll
      2017-10-21 18:20 - 2017-10-21 18:20 - 000022800 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkCoLDR64.dll
      2017-10-21 18:19 - 2017-10-21 18:19 - 005995944 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\Drivers\RTKVHD64.sys
      2017-10-21 18:19 - 2017-10-21 18:19 - 003677152 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RTSnMg64.cpl
      2017-10-21 18:19 - 2017-10-21 18:19 - 000122312 _____ (Real Sound Lab SIA) C:\Windows\system32\CONEQMSAPOGUILibrary.dll
      2017-10-21 18:17 - 2017-10-21 18:17 - 004184328 _____ (Qualcomm Atheros Communications, Inc.) C:\Windows\system32\Drivers\athrx.sys
      2017-10-21 18:17 - 2017-10-21 18:17 - 000480800 _____ (Intel(R) Corporation) C:\Windows\system32\Drivers\IntcDAud.sys
      2017-10-21 18:12 - 2017-10-21 18:12 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Easy
      2017-10-21 02:15 - 2017-10-21 02:16 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Roaming\Digiarty
      2017-10-21 02:15 - 2017-10-21 02:15 - 000001450 _____ C:\Users\Rosa M Castrillon\Desktop\WinX HD Video Converter Deluxe.lnk
      2017-10-21 02:15 - 2017-10-21 02:15 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digiarty
      2017-10-21 02:15 - 2017-10-21 02:15 - 000000000 ____D C:\Program Files (x86)\Digiarty
      2017-10-19 22:11 - 2017-10-19 22:11 - 000003198 _____ C:\Windows\System32\Tasks\klcp_update
      2017-10-19 22:10 - 2017-10-19 22:10 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack
      2017-10-19 22:10 - 2017-10-19 22:10 - 000000000 ____D C:\Program Files (x86)\K-Lite Codec Pack

      ==================== One Month Modified files and folders ========

      (If an entry is included in the fixlist, the file/folder will be moved.)

      2017-11-12 20:14 - 2009-07-13 23:45 - 000031312 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
      2017-11-12 20:14 - 2009-07-13 23:45 - 000031312 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
      2017-11-12 18:42 - 2017-06-17 22:38 - 000003244 _____ C:\Windows\System32\Tasks\Kerish Doctor
      2017-11-12 18:41 - 2016-09-27 10:40 - 000000828 _____ C:\Windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
      2017-11-12 18:40 - 2009-07-13 23:45 - 000409648 _____ C:\Windows\system32\FNTCACHE.DAT
      2017-11-12 18:39 - 2009-07-14 00:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
      2017-11-12 18:18 - 2016-09-27 10:40 - 000000830 _____ C:\Windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job
      2017-11-12 17:54 - 2016-09-26 18:57 - 000000000 ____D C:\Users\Rosa M Castrillon
      2017-11-12 15:24 - 2016-11-21 12:14 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\LocalLow\Mozilla
      2017-11-12 15:23 - 2009-07-13 22:20 - 000000000 ____D C:\Windows\inf
      2017-11-12 15:22 - 2016-09-27 10:25 - 000109304 _____ C:\Users\Rosa M Castrillon\AppData\Local\GDIPFONTCACHEV1.DAT
      2017-11-12 15:10 - 2017-03-01 01:27 - 000000000 ____D C:\ProgramData\Package Cache
      2017-11-12 15:07 - 2016-09-27 10:24 - 000000000 ____D C:\Program Files (x86)\Panda Security
      2017-11-12 15:07 - 2016-09-27 10:22 - 000000000 ____D C:\ProgramData\Panda Security
      2017-11-12 15:06 - 2016-09-27 10:25 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Roaming\Panda Security
      2017-11-12 14:29 - 2017-06-17 22:38 - 000000000 ____D C:\Program Files (x86)\Kerish Doctor
      2017-11-11 19:44 - 2017-08-12 21:05 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
      2017-11-11 19:44 - 2017-08-12 21:05 - 000000000 ____D C:\Program Files (x86)\Java
      2017-11-11 19:44 - 2016-09-27 07:12 - 000000000 ____D C:\ProgramData\Oracle
      2017-11-11 19:42 - 2017-08-12 21:05 - 000097856 _____ (Oracle Corporation) C:\Windows\SysWOW64\WindowsAccessBridge-32.dll
      2017-11-11 19:31 - 2016-09-27 10:08 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Roaming\Skype
      2017-11-11 19:26 - 2017-03-02 13:42 - 000000000 ___RD C:\Program Files (x86)\Skype
      2017-11-11 19:26 - 2016-09-27 07:24 - 000000000 ____D C:\ProgramData\Skype
      2017-11-11 15:42 - 2017-03-01 01:22 - 000000000 ____D C:\AKickDocumentConverter19-db94se
      2017-11-09 01:45 - 2009-07-14 00:32 - 000000000 ____D C:\Windows\Downloaded Program Files
      2017-11-09 01:38 - 2016-09-27 07:28 - 000000000 ____D C:\Windows\SysWOW64\Macromed
      2017-11-09 01:33 - 2016-09-27 16:46 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\LocalLow\Adobe
      2017-11-09 01:07 - 2016-09-27 21:40 - 000000000 ____D C:\Users\Rosa M Castrillon\AppData\Roaming\vlc
      2017-11-08 22:34 - 2017-08-12 21:40 - 000000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
      2017-11-08 16:58 - 2017-05-12 02:22 - 000004332 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater
      2017-11-08 16:58 - 2017-03-22 19:21 - 000803328 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
      2017-11-08 16:58 - 2017-03-22 19:21 - 000144896 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
      2017-11-08 16:58 - 2016-09-27 07:28 - 000000000 ____D C:\Windows\system32\Macromed
      2017-11-08 16:44 - 2017-08-12 21:39 - 000000000 ____D C:\Program Files\Mozilla Firefox
      2017-11-08 16:25 - 2016-09-27 07:09 - 000002193 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
      2017-11-08 16:25 - 2016-09-27 07:09 - 000002181 _____ C:\Users\Public\Desktop\Google Chrome.lnk
      2017-10-21 20:07 - 2016-09-30 14:43 - 000000000 ____D C:\ProgramData\Samsung
      2017-10-21 18:25 - 2016-09-26 19:10 - 000000000 ____D C:\Windows\system32\DAX2
      2017-10-21 18:25 - 2016-09-26 19:09 - 000000000 ____D C:\Windows\SysWOW64\RTCOM
      2017-10-21 18:12 - 2017-09-22 02:00 - 000000971 _____ C:\Users\Public\Desktop\Driver Easy.lnk
      2017-10-21 01:20 - 2009-07-14 00:08 - 000032630 _____ C:\Windows\Tasks\SCHEDLGU.TXT
      2017-10-19 20:43 - 2016-09-27 07:22 - 000002048 _____ C:\Users\Public\Desktop\Google Slides.lnk
      2017-10-19 20:43 - 2016-09-27 07:22 - 000002046 _____ C:\Users\Public\Desktop\Google Sheets.lnk
      2017-10-19 20:43 - 2016-09-27 07:22 - 000002036 _____ C:\Users\Public\Desktop\Google Docs.lnk
      2017-10-19 20:43 - 2016-09-27 07:22 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Drive
      2017-10-19 20:36 - 2010-11-21 02:09 - 000787868 _____ C:\Windows\system32\perfh00A.dat
      2017-10-19 20:36 - 2010-11-21 02:09 - 000172012 _____ C:\Windows\system32\perfc00A.dat
      2017-10-19 20:36 - 2009-07-14 00:13 - 001784670 _____ C:\Windows\system32\PerfStringBackup.INI

      ==================== Files in the root of some directories =======

      2017-08-31 01:25 - 2017-08-31 01:34 - 000000246 _____ () C:\Users\Rosa M Castrillon\AppData\Roaming\PPTConverter.log
      2017-11-10 22:57 - 2017-11-10 23:00 - 000033792 _____ () C:\Users\Rosa M Castrillon\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
      2016-09-26 19:10 - 2016-09-26 19:10 - 000000000 ____H () C:\ProgramData\DP45977C.lfl

      ==================== Bamital & volsnap ======================

      (There is no automatic fix for files that do not pass verification.)

      C:\Windows\system32\winlogon.exe => File is digitally signed
      C:\Windows\system32\wininit.exe => File is digitally signed
      C:\Windows\SysWOW64\wininit.exe => File is digitally signed
      C:\Windows\explorer.exe => File is digitally signed
      C:\Windows\SysWOW64\explorer.exe => File is digitally signed
      C:\Windows\system32\svchost.exe => File is digitally signed
      C:\Windows\SysWOW64\svchost.exe => File is digitally signed
      C:\Windows\system32\services.exe => File is digitally signed
      C:\Windows\system32\User32.dll => File is digitally signed
      C:\Windows\SysWOW64\User32.dll => File is digitally signed
      C:\Windows\system32\userinit.exe => File is digitally signed
      C:\Windows\SysWOW64\userinit.exe => File is digitally signed
      C:\Windows\system32\rpcss.dll => File is digitally signed
      C:\Windows\system32\dnsapi.dll => File is digitally signed
      C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
      C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed


      safeboot: Minimal => The system is configured to boot to Safe Mode <==== ATTENTION

      LastRegBack: 2017-09-30 10:00

      ==================== End of FRST.txt ============================

    2. #2
      Usuario Avatar de TotusTuus
      Registrado
      sep 2014
      Ubicación
      Colombia
      Mensajes
      64
      Additional scan result of Farbar Recovery Scan Tool (x64) Version: 12-11-2017 03
      Ran by Rosa M Castrillon (12-11-2017 21:05:39)
      Running from C:\Users\Rosa M Castrillon\Desktop
      Windows 7 Professional Service Pack 1 (X64) (2016-09-26 23:57:30)
      Boot Mode: Safe Mode (minimal)
      ==========================================================


      ==================== Accounts: =============================

      Administrador (S-1-5-21-3096733655-4183173044-1789290592-500 - Administrator - Disabled)
      HomeGroupUser$ (S-1-5-21-3096733655-4183173044-1789290592-1002 - Limited - Enabled)
      Invitado (S-1-5-21-3096733655-4183173044-1789290592-501 - Limited - Disabled)
      Rosa M Castrillon (S-1-5-21-3096733655-4183173044-1789290592-1000 - Administrator - Enabled) => C:\Users\Rosa M Castrillon

      ==================== Security Center ========================

      (If an entry is included in the fixlist, it will be removed.)

      AV: Avira Antivirus (Enabled - Up to date) {B3F630BD-538D-1B4A-14FA-14B63235278F}
      AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
      AS: Avira Antivirus (Enabled - Up to date) {0897D159-75B7-14C4-2E4A-2FC449B26D32}
      AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
      AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

      ==================== Installed Programs ======================

      (Only the adware programs with "Hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)

      1AV Image Converter registered to GiveAwayOfTheDay version 1.0.0.91 (HKLM-x32\...\{1B2CAA34-F48D-45A8-9F87-6CB954FDD029}_is1) (Version: 1.0.0.91 - PCWinSoft Software)
      Actualización firma DIAN versión 1.0 (HKLM-x32\...\{8CDFD1CE-CC4D-4CB9-ACE7-48322D560E73}_is1) (Version: 1.0 - DIAN)
      Adobe Acrobat Reader DC - Español (HKLM-x32\...\{AC76BA86-7AD7-1034-7B44-AC0F074E4100}) (Version: 17.012.20098 - Adobe Systems Incorporated)
      Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 27.0.0.124 - Adobe Systems Incorporated)
      Adobe Flash Player 27 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 27.0.0.183 - Adobe Systems Incorporated)
      Adobe Flash Player 27 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 27.0.0.183 - Adobe Systems Incorporated)
      Adobe Shockwave Player 12.2 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.2.9.199 - Adobe Systems, Inc.)
      AKick Document Converter (HKLM-x32\...\{BDB7FCE9-B8BB-4BF3-A1FE-H98TA93Y963F}_is1) (Version: 2.0 - AKick Software Pvt. Ltd.)
      Analizador y SDK de MSXML 4.0 SP2 (HKLM-x32\...\{716E0306-8318-4364-8B8F-0CC4E9376BAC}) (Version: 4.20.9818.0 - Microsoft Corporation)
      aTube Catcher versión 3.8 (HKLM-x32\...\{D43B360E-722D-421B-BC77-20B9E0F8B6CD}_is1) (Version: 3.8 - DsNET Corp)
      Avira (HKLM-x32\...\{37C2DE81-46FA-4EB3-83A5-F0D8F5B08F6E}) (Version: 1.2.99.31392 - Avira Operations GmbH & Co. KG) Hidden
      Avira (HKLM-x32\...\{5a024a65-9f29-41b1-b178-946c9f826e72}) (Version: 1.2.99.31392 - Avira Operations GmbH & Co. KG)
      Avira Antivirus (HKLM-x32\...\Avira Antivirus) (Version: 15.0.32.12 - Avira Operations GmbH & Co. KG)
      Avira Phantom VPN (HKLM-x32\...\Avira Phantom VPN) (Version: 2.11.3.29834 - Avira Operations GmbH & Co. KG)
      Avira Safe Shopping (HKLM-x32\...\{32484ED7-3133-4E50-9882-F3DBB1ACDD25}) (Version: 1.0.37.1668 - Avira Operations Gmbh & Co. KG)
      Avira Software Updater (HKLM-x32\...\{306B9B30-7E66-40E3-81DF-872EE6EC58DE}) (Version: 2.0.4.724 - Avira Operations GmbH & Co. KG)
      Avira System Speedup (HKLM-x32\...\Avira System Speedup_is1) (Version: 4.2.1.6365 - Avira Operations GmbH & Co. KG)
      CCleaner (HKLM\...\CCleaner) (Version: 5.36 - Piriform)
      Complemento Guardar como PDF o XPS de Microsoft para programas de Microsoft Office 2007 (HKLM-x32\...\{90120000-00B2-0C0A-0000-0000000FF1CE}) (Version: 12.0.4518.1014 - Microsoft Corporation)
      Driver Easy 5.5.4 (HKLM\...\DriverEasy_is1) (Version: 5.5.4 - Easeware)
      Estatuto Tributario Digital (HKLM-x32\...\{6FF62B94-F5E4-4EB7-B54D-226CA26EB665}) (Version: 9.89 - CETA)
      ETDWare PS/2-X64 11.6.24.209_WHQL (HKLM\...\Elantech) (Version: 11.6.24.209 - ELAN Microelectronic Corp.)
      Google Chrome (HKLM-x32\...\{677D1ADF-1617-34D4-ADDF-D0F8DEC40FAF}) (Version: 62.0.3202.89 - Google, Inc.)
      Google Chrome Frame (HKLM-x32\...\{5926A077-03A4-3564-8868-327E1BAA1903}) (Version: 65.72.71 - Google, Inc.)
      Google Drive (HKLM-x32\...\{AC117AF9-316B-4E1D-959E-F0EB85B0DC5F}) (Version: 2.34.7100.0000 - Google, Inc.)
      Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.5 - Google Inc.) Hidden
      Intel(R) Manageability Engine Firmware Recovery Agent (HKLM-x32\...\{A6C48A9F-694A-4234-B3AA-62590B668927}) (Version: 1.0.0.35342 - Intel Corporation)
      Intel(R) Management Engine Components (HKLM\...\{1CEAC85D-2590-4760-800F-8DE5E91F3700}) (Version: 11.0.6.1194 - Intel Corporation)
      Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.4229 - Intel Corporation)
      Intel(R) USB 3.0 eXtensible Host Controller Driver (HKLM-x32\...\{240C3DDD-C5E9-4029-9DF7-95650D040CF2}) (Version: 1.0.10.255 - Intel Corporation)
      Intel® Trusted Connect Service Client (HKLM\...\{09536BA1-E498-4CC3-B834-D884A67D7E34}) (Version: 1.23.605.1 - Intel Corporation)
      Java 8 Update 151 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180151F0}) (Version: 8.0.1510.12 - Oracle Corporation)
      Kerish Doctor 2017 (HKLM-x32\...\{EF70A54F-E09E-4570-8F21-C7674CDDB5B6}_is1) (Version: 4.65 - Kerish Products)
      K-Lite Codec Pack 13.6.0 Full (HKLM-x32\...\KLiteCodecPack_is1) (Version: 13.6.0 - KLCP)
      Leawo PowerPoint to Video Pro version 2.8.0.0 (HKLM-x32\...\{5D5CB188-F9B1-4103-B2AD-07FB33068377}_is1) (Version: 2.8.0.0 - Leawo Software)
      Malwarebytes versión 3.3.1.2183 (HKLM\...\{35065F43-4BB2-439A-BFF7-0F1014F2E0CD}_is1) (Version: 3.3.1.2183 - Malwarebytes)
      MeadCo ScriptX (v7.0.0.8 (x86)) (HKLM-x32\...\{F2682E66-3DEF-4066-AD9F-70DDB96CDDCC}) (Version: 7.0.8 - Mead & Co Ltd.)
      Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.7015.1000 - Microsoft Corporation)
      Microsoft Save as PDF Add-in for 2007 Microsoft Office programs (HKLM-x32\...\{90120000-00B0-0409-0000-0000000FF1CE}) (Version: 12.0.4518.1014 - Microsoft Corporation)
      Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.50907.0 - Microsoft Corporation)
      Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation)
      Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
      Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 (HKLM-x32\...\{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}) (Version: 11.0.61030.0 - Microsoft Corporation)
      Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.24215 (HKLM-x32\...\{e2803110-78b3-4664-a479-3611a381656a}) (Version: 14.0.24215.1 - Microsoft Corporation)
      Microsoft Visual C++ Run Time Lib Setup (HKLM-x32\...\{AAF4238F-7C29-451D-9925-C753271A5728}) (Version: 1.0.0 - Microsoft)
      Microsoft Visual Studio 2010 Tools for Office Runtime (x64) (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64)) (Version: 10.0.50903 - Microsoft Corporation)
      Mozilla Firefox 56.0.2 (x64 es-ES) (HKLM\...\Mozilla Firefox 56.0.2 (x64 es-ES)) (Version: 56.0.2 - Mozilla)
      Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 55.0.1 - Mozilla)
      MSXML 4.0 SP2 (KB954430) (HKLM-x32\...\{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}) (Version: 4.20.9870.0 - Microsoft Corporation)
      MSXML 4.0 SP2 (KB973688) (HKLM-x32\...\{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}) (Version: 4.20.9876.0 - Microsoft Corporation)
      Paquete de controladores de Windows - Qualcomm Atheros Communications Inc. (athr) Net (11/22/2012 10.0.0.221) (HKLM\...\E098FBAF0B5F7353A4B6EFA044C2CB5A2074C565) (Version: 11/22/2012 10.0.0.221 - Qualcomm Atheros Communications Inc.)
      Paquete de idioma de Microsoft Visual Studio 2010 Tools para Office Runtime (x64) - ESN (HKLM\...\Microsoft Visual Studio 2010 Tools for Office Runtime (x64) Language Pack - ESN) (Version: 10.0.50903 - Microsoft Corporation)
      PDFCreator (HKLM\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 2.3.2 - pdfforge GmbH)
      Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.8261 - Realtek Semiconductor Corp.)
      Samsung ML-1610 Series (HKLM-x32\...\Samsung ML-1610 Series) (Version: - )
      Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version: - Microsoft)
      Skype™ 7.40 (HKLM-x32\...\{3B7E914A-93D5-4A29-92BB-AF8C3F66C431}) (Version: 7.40.104 - Skype Technologies S.A.)
      SQL Anywhere 9 for Windows x64 (HKLM-x32\...\{88A74695-D9B6-4F26-9252-40DCD3A6659E}) (Version: 9.0.2.3044 - iAnywhere Solutions, Inc.)
      SQL Anywhere Studio 9, Software (HKLM-x32\...\{F653AB56-DB37-415B-8DDD-EF5BC1982150}) (Version: 9.0.2.3508 - iAnywhere Solutions, Inc.)
      swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
      Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 16.3.12.43 - Synaptics Incorporated)
      TeamViewer 12 (HKLM-x32\...\TeamViewer) (Version: 12.0.78716 - TeamViewer)
      VLC media player (HKLM\...\VLC media player) (Version: 2.2.6 - VideoLAN)
      WinRAR 5.40 (64-bit) (HKLM\...\WinRAR archiver) (Version: 5.40.0 - win.rar GmbH)
      WinX HD Video Converter Deluxe 5.10.0 (HKLM-x32\...\WinX HD Video Converter Deluxe_is1) (Version: - Digiarty Software, Inc.)

      ==================== Custom CLSID (Whitelisted): ==========================

      (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

      ShellIconOverlayIdentifiers: [ GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} => C:\Program Files (x86)\Google\Drive\googledrivesync64.dll [2017-10-09] (Google)
      ShellIconOverlayIdentifiers: [ GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} => C:\Program Files (x86)\Google\Drive\googledrivesync64.dll [2017-10-09] (Google)
      ShellIconOverlayIdentifiers: [ GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} => C:\Program Files (x86)\Google\Drive\googledrivesync64.dll [2017-10-09] (Google)
      ContextMenuHandlers1: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files (x86)\Google\Drive\contextmenu64.dll [2017-10-09] (Google)
      ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} => C:\Windows\system32\mscoree.dll [2010-11-20] (Microsoft Corporation)
      ContextMenuHandlers1: [Shell Extension for Malware scanning] -> {45AC2688-0253-4ED8-97DE-B5370FA7D48A} => C:\Program Files (x86)\Avira\Antivirus\shlext64.dll [2017-10-06] (Avira Operations GmbH & Co. KG)
      ContextMenuHandlers1: [SystemSpeedupFilesMenu] -> {ef263503-8f0e-3e6a-ae2e-fe0b4b441d52} => C:\Windows\system32\mscoree.dll [2010-11-20] (Microsoft Corporation)
      ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2016-08-15] (Alexander Roshal)
      ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2016-08-15] (Alexander Roshal)
      ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
      ContextMenuHandlers4: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} => C:\Program Files (x86)\Google\Drive\contextmenu64.dll [2017-10-09] (Google)
      ContextMenuHandlers4: [SystemSpeedupFoldersMenu] -> {3d52b24d-33bb-3895-99ea-a0156f24a3f9} => C:\Windows\system32\mscoree.dll [2010-11-20] (Microsoft Corporation)
      ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll [2015-05-26] (Intel Corporation)
      ContextMenuHandlers5: [SystemSpeedupDesktopMenu] -> {cefaf456-bc17-3f4b-b7d9-75070925911b} => C:\Windows\system32\mscoree.dll [2010-11-20] (Microsoft Corporation)
      ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2017-11-01] (Malwarebytes)
      ContextMenuHandlers6: [Shell Extension for Malware scanning] -> {45AC2688-0253-4ED8-97DE-B5370FA7D48A} => C:\Program Files (x86)\Avira\Antivirus\shlext64.dll [2017-10-06] (Avira Operations GmbH & Co. KG)
      ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext.dll [2016-08-15] (Alexander Roshal)
      ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll [2016-08-15] (Alexander Roshal)

      ==================== Scheduled Tasks (Whitelisted) =============

      (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

      Task: {0D55E419-29F9-42D2-A9F3-12902D01745C} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2017-10-18] (Piriform Ltd)
      Task: {0DD18AD6-4B86-47E4-B908-0671F9390A3A} - System32\Tasks\Avira Safe Shopping Updater => C:\Program Files (x86)\Avira\Safe Shopping\\Updater\Updater.exe [2017-10-30] (Avira Operations Gmbh & Co. KG)
      Task: {19271202-771C-493D-B8F1-767C80E3A75E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-09-27] (Google Inc.)
      Task: {20C34161-A7B6-44EC-A3D1-BA0F53BFFEDE} - System32\Tasks\{795D257B-5B0A-4DDD-811B-6034DA71D8C0} => C:\Windows\system32\pcalua.exe -a "C:\Users\Rosa M Castrillon\Desktop\Setup.exe" -d "C:\Users\Rosa M Castrillon\Desktop"
      Task: {218F10BE-1163-4DED-8E9F-DAD3CE4F635C} - System32\Tasks\Avira SystrayStartTrigger => Avira.SystrayStartTrigger.exe
      Task: {2221B157-3FB1-48A9-AFE9-9E9942099605} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe [2011-11-25] (Intel Corporation)
      Task: {38270336-B074-45FD-B98F-678BEB6795AA} - System32\Tasks\{D11923B0-2F88-4A05-AF0A-C29B6AD937FE} => C:\Windows\system32\pcalua.exe -a "C:\Users\Rosa M Castrillon\Downloads\jxpiinstall(5).exe" -d "C:\Users\Rosa M Castrillon\Downloads"
      Task: {410E8B26-67DD-4D40-9AF5-90FF2B6E525C} - System32\Tasks\Avira_Antivirus_Systray => C:\Program Files (x86)\Avira\Antivirus\avgnt.exe [2017-10-06] (Avira Operations GmbH & Co. KG)
      Task: {445719E8-5715-4838-8997-23AD48401982} - System32\Tasks\Avira\System Speedup\Delayed Startup\All users\1 => C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [2013-09-17] (Intel Corporation)
      Task: {56F6963C-BCD9-4B2C-8F5C-F4D7243A4771} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2017-11-08] (Adobe Systems Incorporated)
      Task: {58682022-9077-4F64-A00E-CE3EDA8550DE} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2017-07-19] (Adobe Systems Incorporated)
      Task: {614A9A5F-FD4E-4E2E-8A15-13BECE16A0BA} - System32\Tasks\Avira\System Speedup\Delayed Startup\All users\5 => C:\Windows\system32\igfxpers.exe [2015-06-04] (Intel Corporation)
      Task: {6610080E-59FE-4CAF-B63B-603E1FFE867F} - System32\Tasks\Avira\System Speedup\TestScheduler => C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.Core.Common.Starter.exe [2017-10-05] (Avira Operations GmbH & Co. KG)
      Task: {693A2131-7F8D-4952-B601-9FBDB5A9E5C8} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe [2011-11-25] (Intel Corporation)
      Task: {695F0188-E341-43B0-A707-723647270C95} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [2017-10-18] (Piriform Ltd)
      Task: {7D7B937C-C4AE-4A29-9606-78D1096AA3CC} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2017-10-18] ()
      Task: {94993B7D-2E81-410F-B802-D88A6980E25D} - System32\Tasks\Kerish Doctor => C:\Program Files (x86)\Kerish Doctor\KerishDoctor.exe [2017-11-12] (Kerish Products)
      Task: {985175AE-74A3-4B4D-9035-8D0106054B6D} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-09-27] (Google Inc.)
      Task: {A1A249DA-478F-4BD1-A2A9-1DF2CBFD2E9B} - System32\Tasks\{02B40FEA-654A-4B12-821B-7775E9C4F074} => C:\Windows\system32\pcalua.exe -a "C:\Users\Rosa M Castrillon\Desktop\Samsung ml-1610\Setup.exe" -d "C:\Users\Rosa M Castrillon\Desktop\Samsung ml-1610"
      Task: {A9A87E15-4BDA-4589-ADF3-23FBA2F396FB} - System32\Tasks\Avira\System Speedup\Delayed Startup\All users\4 => C:\Program Files\Elantech\ETDCtrl.exe [2017-09-23] (ELAN Microelectronics Corp.)
      Task: {D4E220C2-8902-4348-AC3F-23338BEBBAB4} - System32\Tasks\Avira\System Speedup\Delayed Startup\All users\3 => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [2017-10-21] (Realtek Semiconductor)
      Task: {D54CF5BB-6770-493E-BB98-B933271A303A} - System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\2 => C:\Program Files (x86)\Sybase\Shared\Sybase Central 4.3\win32\scjview.exe [2007-05-01] () <==== ATTENTION
      Task: {D9C9B686-4AE3-4410-AB5D-127EFB0DC311} - System32\Tasks\Avira\System Speedup\Delayed Startup\All users\2 => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [2017-10-21] (Realtek Semiconductor)
      Task: {DC096BEE-E241-4F04-8572-5474D99DC2CB} - System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\1 => C:\Program Files (x86)\Sybase\SQL Anywhere 9\win32\dbisqlg.exe [2007-06-07] (iAnywhere Solutions, Inc.) <==== ATTENTION
      Task: {E9E46C54-E534-4AD5-A26E-BF3686921556} - System32\Tasks\Avira\System Speedup\SpeedupSysTray => C:\Program Files (x86)\Avira\System Speedup\Avira.SystemSpeedup.UI.Systray.exe [2017-10-05] (Avira Operations GmbH & Co. KG)

      (If an entry is included in the fixlist, the task (.job) file will be moved. The file which is running by the task will not be moved.)

      Task: C:\Windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe
      Task: C:\Windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job => C:\Program Files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe

      ==================== Shortcuts & WMI ========================

      (The entries could be listed to be restored or removed.)


      ShortcutWithArgument: C:\Users\Rosa M Castrillon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"

      ==================== Loaded Modules (Whitelisted) ==============

      2017-11-12 19:09 - 2017-11-01 08:55 - 002299344 _____ () C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\SelfProtectionSdk.dll

      ==================== Alternate Data Streams (Whitelisted) =========

      (If an entry is included in the fixlist, only the ADS will be removed.)


      ==================== Safe Mode (Whitelisted) ===================

      (If an entry is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)

      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mbamchameleon => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMSwissArmy => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mbamchameleon => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMSwissArmy => ""="Driver"
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="1"

      ==================== Association (Whitelisted) ===============

      (If an entry is included in the fixlist, the registry item will be restored to default or removed.)


      ==================== Internet Explorer trusted/restricted ===============

      (If an entry is included in the fixlist, it will be removed from the registry.)

      IE trusted site: HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\...\localhost -> localhost
      IE trusted site: HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\...\sincoerp.com -> hxxp://www.sincoerp.com

      ==================== Hosts content: ===============================

      (If needed Hosts: directive could be included in the fixlist to reset Hosts.)

      2009-07-13 21:34 - 2009-06-10 16:00 - 000000824 _____ C:\Windows\system32\Drivers\etc\hosts


      ==================== Other Areas ============================

      (Currently there is no automatic fix for this section.)

      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Rosa M Castrillon\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
      DNS Servers: Media is not connected to internet.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

      ==================== MSCONFIG/TASK MANAGER disabled items ==


      ==================== FirewallRules (Whitelisted) ===============

      (If an entry is included in the fixlist, it will be removed from the registry. The file will not be moved unless listed separately.)

      FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
      FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
      FirewallRules: [{DA8FBE51-662E-41D7-B269-50C3988BC270}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe
      FirewallRules: [TCP Query User{6ECAD382-6ADF-4E4E-B74A-DE0C7B277A23}C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe] => (Allow) C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe
      FirewallRules: [UDP Query User{DDC59E08-47EF-4499-822A-CC46319BFAE9}C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe] => (Allow) C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe
      FirewallRules: [TCP Query User{B154002C-D309-4441-B9F0-FF9CC5703CE4}C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe] => (Allow) C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe
      FirewallRules: [UDP Query User{F8392B31-93ED-4EF5-B14E-7A11248FF101}C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe] => (Allow) C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe
      FirewallRules: [TCP Query User{F3C8FCFF-3C5E-4758-B8E2-BFCEA0B86463}C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe] => (Allow) C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe
      FirewallRules: [UDP Query User{799C2AB7-2D03-4C45-9DBB-E6211A6F85AE}C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe] => (Allow) C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe
      FirewallRules: [TCP Query User{C0F7BE0D-3D21-45F6-AEF4-3317BC015A25}C:\program files (x86)\sybase\sql anywhere 9\win32\dbeng9.exe] => (Allow) C:\program files (x86)\sybase\sql anywhere 9\win32\dbeng9.exe
      FirewallRules: [UDP Query User{C42A2954-5586-403D-B050-4359912A1010}C:\program files (x86)\sybase\sql anywhere 9\win32\dbeng9.exe] => (Allow) C:\program files (x86)\sybase\sql anywhere 9\win32\dbeng9.exe
      FirewallRules: [TCP Query User{281EAD92-1477-499C-B73D-4F0AC4D7A1C6}C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe] => (Block) C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe
      FirewallRules: [UDP Query User{00A4A99B-A600-475B-9205-21CB1104138B}C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe] => (Block) C:\program files (x86)\sybase\shared\sybase central 4.3\win32\scjview.exe
      FirewallRules: [TCP Query User{17AAD59B-B023-47B3-852B-D8D9ADD6749C}C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe] => (Block) C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe
      FirewallRules: [UDP Query User{D296B24A-D577-47E5-950D-C1E3AA9DA8B9}C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe] => (Block) C:\program files (x86)\sybase\sql anywhere 9\win32\dbisqlg.exe
      FirewallRules: [TCP Query User{CE26A56C-A931-4FE8-B3D9-17E2E90FB7ED}C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe] => (Allow) C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe
      FirewallRules: [UDP Query User{D46BD94D-EB71-49CD-B655-4B8B0A57510C}C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe] => (Allow) C:\program files\sybase\sql anywhere 9\x64\dbeng9.exe
      FirewallRules: [{E5770B7A-FC96-4B4A-A038-B3B661CB3BA4}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
      FirewallRules: [{6F7DC6EF-6207-4B0E-B7C8-0206F8C021F8}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
      FirewallRules: [{B99C7EF5-DF3E-4990-A331-EE8B979FFC77}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
      FirewallRules: [{E27E5E1A-563F-433E-82C0-6989D0FE3FB8}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
      FirewallRules: [{EC473D5E-856D-4255-96DD-CC1F1796981C}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
      FirewallRules: [{9D45FE24-DC03-4257-BA3B-4DB9D04F72B1}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe
      FirewallRules: [{839AD026-0408-4050-9A5C-1BCBBBD616ED}] => (Allow) C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
      FirewallRules: [{E306C411-B546-4D51-9854-429C75B668BB}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

      ==================== Restore Points =========================

      ATTENTION: System Restore is disabled

      ==================== Faulty Device Manager Devices =============

      Name: Security Processor Loader Driver
      Description: Security Processor Loader Driver
      Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
      Manufacturer:
      Service: spldr
      Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
      Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
      Devices stay in this state if they have been prepared for removal.
      After you remove the device, this error disappears.Remove the device, and this error should be resolved.


      ==================== Event log errors: =========================

      Application errors:
      ==================
      Error: (11/12/2017 08:52:44 PM) (Source: WinMgmt) (EventID: 10) (User: )
      Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

      Error: (11/12/2017 08:40:24 PM) (Source: WinMgmt) (EventID: 10) (User: )
      Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

      Error: (11/12/2017 08:16:50 PM) (Source: WinMgmt) (EventID: 10) (User: )
      Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

      Error: (11/12/2017 06:41:14 PM) (Source: WinMgmt) (EventID: 10) (User: )
      Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

      Error: (11/12/2017 06:40:31 PM) (Source: PerfNet) (EventID: 2004) (User: )
      Description: No se puede abrir el objeto de rendimiento del servicio del servidor. Los primeros cuatro bytes (DWORD) de la sección de datos contienen el código de estado.

      Error: (11/12/2017 03:09:40 PM) (Source: WinMgmt) (EventID: 10) (User: )
      Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

      Error: (11/12/2017 02:26:37 PM) (Source: WinMgmt) (EventID: 10) (User: )
      Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.

      Error: (11/12/2017 01:18:27 AM) (Source: Application Error) (EventID: 1000) (User: )
      Description: Nombre de la aplicación con errores: PSANHost.exe, versión: 4.0.2.0, marca de tiempo: 0x58a00964
      Nombre del módulo con errores: unknown, versión: 0.0.0.0, marca de tiempo: 0x00000000
      Código de excepción: 0xc0000005
      Desplazamiento de errores: 0xb8ffffd4
      Id. del proceso con errores: 0x16b8
      Hora de inicio de la aplicación con errores: 0x01d35b75c0c999ad
      Ruta de acceso de la aplicación con errores: C:\Program Files (x86)\Panda Security\Panda Security Protection\PSANHost.exe
      Ruta de acceso del módulo con errores: unknown
      Id. del informe: 4b4b0081-c771-11e7-8667-446d57452903

      Error: (11/12/2017 12:18:25 AM) (Source: Application Error) (EventID: 1000) (User: )
      Description: Nombre de la aplicación con errores: PSANHost.exe, versión: 4.0.2.0, marca de tiempo: 0x58a00964
      Nombre del módulo con errores: unknown, versión: 0.0.0.0, marca de tiempo: 0x00000000
      Código de excepción: 0xc0000005
      Desplazamiento de errores: 0xff060be9
      Id. del proceso con errores: 0x7a0
      Hora de inicio de la aplicación con errores: 0x01d35b6e716d23da
      Ruta de acceso de la aplicación con errores: C:\Program Files (x86)\Panda Security\Panda Security Protection\PSANHost.exe
      Ruta de acceso del módulo con errores: unknown
      Id. del informe: e8584506-c768-11e7-8667-446d57452903

      Error: (11/11/2017 11:27:10 PM) (Source: WinMgmt) (EventID: 10) (User: )
      Description: No se pudo reactivar el filtro de eventos con la consulta "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" en el espacio de nombres "//./root/CIMV2" por el error 0x80041003. Los eventos no se podrán entregar a través de este filtro hasta que se corrija este problema.


      System errors:
      =============
      Error: (11/12/2017 08:53:40 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
      Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error:
      No se puede iniciar el servicio o grupo de dependencia.

      Error: (11/12/2017 08:53:40 PM) (Source: DCOM) (EventID: 10005) (User: )
      Description: Error de DCOM "1068" al intentar iniciar el servicio fdPHost con argumentos "" para ejecutar el servidor:
      {D3DCB472-7261-43CE-924B-0704BD730D5F}

      Error: (11/12/2017 08:53:40 PM) (Source: DCOM) (EventID: 10005) (User: )
      Description: Error de DCOM "1068" al intentar iniciar el servicio fdPHost con argumentos "" para ejecutar el servidor:
      {145B4335-FE2A-4927-A040-7C35AD3180EF}

      Error: (11/12/2017 08:51:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
      Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error:
      No se puede iniciar el servicio o grupo de dependencia.

      Error: (11/12/2017 08:51:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
      Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error:
      No se puede iniciar el servicio o grupo de dependencia.

      Error: (11/12/2017 08:51:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
      Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error:
      No se puede iniciar el servicio o grupo de dependencia.

      Error: (11/12/2017 08:51:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
      Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error:
      No se puede iniciar el servicio o grupo de dependencia.

      Error: (11/12/2017 08:51:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
      Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error:
      No se puede iniciar el servicio o grupo de dependencia.

      Error: (11/12/2017 08:51:22 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
      Description: El servicio Servicio de lista de redes depende del servicio Reconocimiento de ubicación de red, el cual no pudo iniciarse debido al siguiente error:
      No se puede iniciar el servicio o grupo de dependencia.

      Error: (11/12/2017 08:51:22 PM) (Source: DCOM) (EventID: 10005) (User: )
      Description: Error de DCOM "1084" al intentar iniciar el servicio WSearch con argumentos "" para ejecutar el servidor:
      {9E175B6D-F52A-11D8-B9A5-505054503030}


      CodeIntegrity:
      ===================================
      Date: 2017-01-13 21:20:13.356
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinreg\PSINReg.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.346
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinreg\PSINReg.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.346
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinreg\PSINReg.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.316
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinprot\PSINProt.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.306
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinprot\PSINProt.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.306
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinprot\PSINProt.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.286
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinproc\PSINProc.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.276
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinproc\PSINProc.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.276
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinproc\PSINProc.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.

      Date: 2017-01-13 21:20:13.256
      Description: Integridad de código no puede comprobar la integridad de imagen del archivo \Device\HarddiskVolume2\Program Files (x86)\Panda Security\Panda Security Protection\Drivers\psinknc\PSINKNC.sys porque el conjunto de hashes de imagen por página no se encuentra en el sistema.


      ==================== Memory info ===========================

      Processor: Intel(R) Core(TM) i5-2467M CPU @ 1.60GHz
      Percentage of memory in use: 20%
      Total physical RAM: 3932.36 MB
      Available physical RAM: 3126.8 MB
      Total Virtual: 7862.9 MB
      Available Virtual: 7107.73 MB

      ==================== Drives ================================

      Drive c: () (Fixed) (Total:273.34 GB) (Free:222.66 GB) NTFS
      Drive d: () (Fixed) (Total:192.32 GB) (Free:187.54 GB) NTFS

      ==================== MBR & Partition Table ==================

      ========================================================
      Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: 21D7B866)
      Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
      Partition 2: (Not Active) - (Size=273.3 GB) - (Type=07 NTFS)
      Partition 3: (Not Active) - (Size=192.3 GB) - (Type=07 NTFS)

      ========================================================
      Disk: 1 (MBR Code: Windows 7 or 8) (Size: 18.6 GB) (Disk ID: D18CAFF8)

      ==================== End of Addition.txt ============================


      Como dije antes: Luego de reiniciar en modo normal repetí los análisis de Malwarebytes y ESET Online Scanner pero lo que encontraron fue nada. Luego de eso pase el CCleaner, reinicie y vine a escribir el mensaje.

      Agradezco su atención y estaré atento a su(s) respuesta(s).

    3. #3
      Warrior Avatar de @Miguelgrado
      Registrado
      dic 2005
      Ubicación
      Asturias-España
      Mensajes
      19.493

      Re: PC infectado, dejo logs de análisis:

      1- Con el Firewall de Windows es suficiente
      2-Vlc es un reproductor de video y musica...si lo instalaste sera por que lo usas,,,y Shokwabe es necesario en algunos contenidos web, aunque con poco uso actualmente

      3- Google Chrome no es necesario para ninguna aplicacion.Es un nanvegador que se instala libremente como Firefox u otros

      4- https://support.microsoft.com/es-es/...cle-fact-sheet






      Realiza lo siguiente por favor:

      En el equipo con los demas programas cerrados:
      Inicio >>> Ejecutar >>>Escribes notepad.exe.

      Ahora copia y pega estos archivos dentro del Notepad: (Se excluye la palabra código)
      Código:
      Start
      CreateRestorePoint:
      CloseProcesses:
      
      GroupPolicyScripts: Restriction <==== ATTENTION
      CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
      Task: {D54CF5BB-6770-493E-BB98-B933271A303A} - System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\2 => C:\Program Files (x86)\Sybase\Shared\Sybase Central 4.3\win32\scjview.exe [2007-05-01] () <==== ATTENTION
      Task: {DC096BEE-E241-4F04-8572-5474D99DC2CB} - System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\1 => C:\Program Files (x86)\Sybase\SQL Anywhere 9\win32\dbisqlg.exe [2007-06-07] (iAnywhere Solutions, Inc.) <==== ATTENTION
      ShortcutWithArgument: C:\Users\Rosa M Castrillon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
       
      
      HOSTS:
      REMOVEPROXY:
      EMPTYTEMP:
      CMD: netsh winsock reset
      CMD: ipconfig /renew
      CMD: ipconfig /flushdns
      CMD: bitsadmin /reset /allusers
      END
      Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

      Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.
      Ejecutas Frst.exe.

      Presionas el botón Fix y aguardas a que termine.
      La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
      ATENCION!!!! El siguiente Script de reparación fue hecho específicamente por un miembro del staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo
      Lo pegas en tu próxima respuesta, comentado como va el problema
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Usuario Avatar de TotusTuus
      Registrado
      sep 2014
      Ubicación
      Colombia
      Mensajes
      64

      Re: PC infectado, dejo logs de análisis:

      Gracias @Miguelgrado.
      Los dias de ayer y hoy he estado observando el PC y veo que se retrasa el apagado del mismo (cosa que antes no sucedia), los programas que he visto que lo producen son Kerish Doctor y Avira. Me pregunto si, sera que todavia no esta bien limpio o si talvez conflictuan Avira y Kerish y eso es lo que lo produce; ¿seria buena idea reinstalar Kerish Doctor para ver si eso lo soluciona o mas bien no?.

      Otro asunto es que cuando ejecute Malwarebytes (en el analisis en modo seguro) me salio un cuadrito abajo a la izquierda, le di click y se paso para arriba a la izquierda pero cambio a fondo oscuro como una pantalla DOS pero sin ningun contenido. Aveces apago el PC o le doy reinicio y reaparece por un instante la barra de tareas con un cuadrito (donde sale lo que uno esta utilizando) pero es extraño porque antes de apagar ya he cerrado todo.
      Van dos veces (ayer y hoy) que Malwarebytes saca un mensaje que no pudo iniciar "algo" anti-rootkit (no acate realizar una captura de pantalla) que posiblemente se deba a la actividad de un rootkit y que debo reiniciar el PC, lo reinicio y todo se carga bien.
      Me resulta una pregunta parecida a la anterior, ¿sera que el PC tiene un rootkit o sera mas bien que conflictuan Avira y Malwarebytes y eso es lo que lo produce?.

      Lo planteo de esta forma porque con la instalacion de Avira y Malwarebytes que tambien tiene proteccion en tiempo real durante los 15 dias de prueba son tres programas monitoreando el PC en tiempo real (por supuesto agregando Kerish Doctor).

      Desde el viernes que se ralentizo el PC hasta ayer que me aumentaron la velocidad de la conexion desde la empresa que la provee no habia podido volver a tener los 10Megas, se quedaba alrededor de 5Megas cuando la conexion es de 10M y apesar que desde la empresa lo intentaron. El caso es que antes de que la aumentaran ensaye con un PC Windows 10 y ese si tomaba los 10Megas, me queda la duda si fue problema de la empresa o del PC que todavia no le habia hecho el fixlist que me colocaste arriba.
      (Se supone que mañana "o hoy mas tarde" viene un tecnico de la empresa de internet a revisar la conexión).

      Una pregunta adicional, ¿sera que puedo cambiarle el usuario Rosa M al PC y como hacerlo, o tengo que dejarlo asi?.

      Ahora el Fixlog:
      Fix result of Farbar Recovery Scan Tool (x64) Version: 12-11-2017 03
      Ran by Rosa M Castrillon (13-11-2017 16:09:33) Run:1
      Running from C:\Users\Rosa M Castrillon\Desktop
      Loaded Profiles: Rosa M Castrillon & (Available Profiles: Rosa M Castrillon)
      Boot Mode: Normal
      ==============================================

      fixlist content:
      *****************
      Start
      CreateRestorePoint:
      CloseProcesses:

      GroupPolicyScripts: Restriction <==== ATTENTION
      CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
      Task: {D54CF5BB-6770-493E-BB98-B933271A303A} - System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\2 => C:\Program Files (x86)\Sybase\Shared\Sybase Central 4.3\win32\scjview.exe [2007-05-01] () <==== ATTENTION
      Task: {DC096BEE-E241-4F04-8572-5474D99DC2CB} - System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\1 => C:\Program Files (x86)\Sybase\SQL Anywhere 9\win32\dbisqlg.exe [2007-06-07] (iAnywhere Solutions, Inc.) <==== ATTENTION
      ShortcutWithArgument: C:\Users\Rosa M Castrillon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"


      HOSTS:
      REMOVEPROXY:
      EMPTYTEMP:
      CMD: netsh winsock reset
      CMD: ipconfig /renew
      CMD: ipconfig /flushdns
      CMD: bitsadmin /reset /allusers
      END
      *****************

      Error: (0) Failed to create a restore point.
      Processes closed successfully.
      C:\Windows\system32\GroupPolicy\Machine => moved successfully
      C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
      HKLM\SOFTWARE\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk => key removed successfully
      HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\caljgklbbfbcjjanaijlacgncafpegll => key removed successfully
      HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk => key removed successfully
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D54CF5BB-6770-493E-BB98-B933271A303A} => key removed successfully
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D54CF5BB-6770-493E-BB98-B933271A303A} => key removed successfully
      C:\Windows\System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\2 => moved successfully
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\2 => key removed successfully
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{DC096BEE-E241-4F04-8572-5474D99DC2CB} => key removed successfully
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DC096BEE-E241-4F04-8572-5474D99DC2CB} => key removed successfully
      C:\Windows\System32\Tasks\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\1 => moved successfully
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avira\System Speedup\Delayed Startup\Rosa M Castrillon\1 => key removed successfully
      C:\Users\Rosa M Castrillon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk => Shortcut argument removed successfully.
      Could not move "C:\Windows\System32\Drivers\etc\hosts" => Scheduled to move on reboot.

      ========= RemoveProxy: =========

      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
      HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11132017153422121\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
      HKU\S-1-5-21-3096733655-4183173044-1789290592-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11132017153422121\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully


      ========= End of RemoveProxy: =========


      ========= netsh winsock reset =========


      El cat*logo Winsock se restableci¢ correctamente.
      Debe reiniciar el equipo para completar el restablecimiento.


      ========= End of CMD: =========


      ========= ipconfig /renew =========


      Configuraci¢n IP de Windows

      No se puede realizar ninguna operaci¢n en Conexi¢n de *rea local mientras los medios
      est‚n desconectados.
      Error al renovar la interfaz Conexi¢n de red inal*mbrica: no se puede establecer contacto con el
      servidor DHCP. La solicitud super¢ el tiempo de espera.
      No se puede realizar ninguna operaci¢n en Conexi¢n de red Bluetooth mientras los medios
      est‚n desconectados.

      ========= End of CMD: =========


      ========= ipconfig /flushdns =========


      Configuraci¢n IP de Windows

      Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

      ========= End of CMD: =========


      ========= bitsadmin /reset /allusers =========


      BITSADMIN version 3.0 [ 7.5.7601 ]
      BITS administration utility.
      (C) Copyright 2000-2006 Microsoft Corp.

      BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
      Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

      {F4198E29-FCDA-4DDD-B1A7-756FD4E890C1} canceled.
      1 out of 1 jobs canceled.

      ========= End of CMD: =========


      =========== EmptyTemp: ==========

      BITS transfer queue => 8388608 B
      DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 2896657 B
      Java, Flash, Steam htmlcache => 524 B
      Windows/system/drivers => 3350622 B
      Edge => 0 B
      Chrome => 4172640 B
      Firefox => 27192459 B
      Opera => 0 B

      Temp, IE cache, history, cookies, recent:
      Users => 0 B
      Default => 6130 B
      Public => 0 B
      ProgramData => 0 B
      systemprofile => 66228 B
      systemprofile32 => 66088 B
      LocalService => 66228 B
      NetworkService => 66228 B
      Rosa M Castrillon => 9091842 B

      RecycleBin => 0 B
      EmptyTemp: => 52.8 MB temporary data Removed.

      ================================

      Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 13-11-2017 16:12:42)

      C:\Windows\System32\Drivers\etc\hosts => moved successfully
      Hosts restored successfully.

      ==== End of Fixlog 16:12:42 ====


      Saludos
      TotusTuus.

    5. #5
      Warrior Avatar de @Miguelgrado
      Registrado
      dic 2005
      Ubicación
      Asturias-España
      Mensajes
      19.493

      Re: PC infectado, dejo logs de análisis:

      Programas como Kerish Doctor son agresivos con el sitema y en ocasiones pueden producir efecto contrario a los deseados

      Desinstalas el Kerish Doctor y ademas.

      Añade en Avira y en Malwarebytes las exclusiones.

      Exlusiones Avira y Malwarebytes



      Si no entiendes algo del link comentas


      Reinicias el pc y comentas como va
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de TotusTuus
      Registrado
      sep 2014
      Ubicación
      Colombia
      Mensajes
      64

      Re: PC infectado, dejo logs de análisis:

      Segun lo que dice el link la carpeta de Avira ya la exclui totalmente en Malwarebytes.

      Con la exclusion en Avira tengo un problema:
      1- mbam.exe y MBAMService.exe ya los tengo excluidos pero.....
      2- mbamgui.exe no existe, ¿entonces que debo hacer?.
      Los unicos que existen son:
      Assistant.exe
      malwarebytes_assistant.exe
      mbam.exe
      MbamPt.exe
      MBAMService.exe
      Mbamtray.exe
      Mbamwow.exe
      MBAMWsc.exe

      Habilitando mostrar archivos ocultos hay uno que tiene las letras "gui" pero es de extencion .dll no es .exe.

      Ademas de lo anterior comento que al abrir Malwarebytes me salio el mensaje que comentaba antes y que decia lo siguiente:
      ------------------------------------------------------------------------
      Malwarebytes no ha podido cargar el driver DDA del anti-rootkit.
      Este error puede deberse a la actividad de un rootkit. Se recomienda
      reiniciar para permitir que Malwarebytes intente instalar el driver.

      ¿Desea reiniciar ahora?
      ------------------------------------------------------------------------

      Le di click en reiniciar, reinicio el PC y cuando lo abri ya tenia iniciado el analisis del equipo, lo deje terminar, no encontro nada y luego le coloque las exclusiones. Ademas debia haber iniciado la M de Malwarebytes en la barra de tareas de la esquina derecha pero no lo hizo y es la segunda vez que pasa lo mismo apesar de que al verlo abierto tenia todas las protecciones activas.

      Adicionalmente me llama la atencion que sigue tomando el usuario de conexion wiffi anterior cuando ya lleva tiempo de haber sido cambiado. Aveces se conecta con el correcto y aveces con el anterior.
      En las redes inalambricas el anterior desde hace dos dias esta borrado y cuando vino el tecnico hoy no dio solucion porque segun vi sabe de extender redes y conectar equipos pero poco o muy poco de sistemas. ¿Como puedo resolver esta cuestion?.

      Otro asunto es ¿como puedo saber si Kerish Doctor dejo basura en el equipo y como eliminarla?. Lo digo porque cuando Malwarebytes estaba scaneando el PC vi que revisaba archivos de Kerish Doctor y ya lo habia deinstalado temprano y apagado y vuelto a iniciar.


      Quedo atento a su(s) respuesta(s)
      Saludos.

    7. #7
      Warrior Avatar de @Miguelgrado
      Registrado
      dic 2005
      Ubicación
      Asturias-España
      Mensajes
      19.493

      Re: PC infectado, dejo logs de análisis:

      Añade a Avira la carpeta de Malwarebytes ( toda) y listo c -archivos de programa- Malwarebytes


      Y pega esto


      Paso 1.-: Descarga Malwarebytes Anti-Rootkit Beta >>Malwarebytes Anti-Rootkit | InfoSpyware y descomprima el contenido en su escritorio
      Paso 2.- : Desactiva tu antivirus >> Cómo deshabilitar temporalmente su Antivirus

      Abra la carpeta Mbar. Doble clic en el archivo Mbar.exe
      • En la interfaz del programa haga clic en Next.
      • Haga clic en el botón Update. Terminando clic en Next
      • Para iniciar el análisis clic en el botón Scan
      • Terminando, si hay infección clic en CleanUp, si no hay, clic en Exit.


      Al finalizar abra la carpeta Mbar, los archivos mbar-log.txt , copie y pegue todo su contenido en la siguiente respuesta y comentando los resultados.
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de TotusTuus
      Registrado
      sep 2014
      Ubicación
      Colombia
      Mensajes
      64

      Re: PC infectado, dejo logs de análisis:

      Sin ningún ánimo de ser molesto ni intenso decidí realizar nuevos análisis debido a que luego de realizar el fixlist de Farbar Avira ha sacado mensajes diciendo que ha bloqueado el acceso al fichero host y también al registro. Esto me hace sospechar que Avira haya desecho los cambios realizados por el fixlist y los programas de análisis.

      Es por ello que dejo nuevos logs de análisis solicitando que por favor me ayuden a verificar si realmente hay progreso o si talvez Avira está impidiendo hacer los cambios necesarios.

      Log de Malwarebytes Anti-Rootkit:
      Malwarebytes Anti-Rootkit BETA 1.10.3.1001
      www.malwarebytes.org

      Database version:
      main: v2017.11.17.02
      rootkit: v2017.10.14.01

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 11.0.9600.18837
      Rosa M Castrillon :: ROSAMCASTRILLON [administrator]

      16/11/2017 09:23:16 p.m.
      mbar-log-2017-11-16 (21-23-16).txt

      Scan type: Quick scan
      Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
      Scan options disabled:
      Objects scanned: 277801
      Time elapsed: 20 minute(s), 10 second(s)

      Memory Processes Detected: 0
      (No malicious items detected)

      Memory Modules Detected: 0
      (No malicious items detected)

      Registry Keys Detected: 0
      (No malicious items detected)

      Registry Values Detected: 0
      (No malicious items detected)

      Registry Data Items Detected: 0
      (No malicious items detected)

      Folders Detected: 0
      (No malicious items detected)

      Files Detected: 0
      (No malicious items detected)

      Physical Sectors Detected: 0
      (No malicious items detected)

      (end)


      Log de Rkill:
      Rkill 2.9.1 by Lawrence Abrams (Grinler)
      http://www.bleepingcomputer.com/
      Copyright 2008-2017 BleepingComputer.com
      More Information about Rkill can be found at this link:
      http://www.bleepingcomputer.com/forums/topic308364.html

      Program started at: 11/20/2017 01:31:46 AM in x64 mode. (Safe Mode)
      Windows Version: Windows 7 Professional Service Pack 1

      Checking for Windows services to stop:

      * No malware services found to stop.

      Checking for processes to terminate:

      * No malware processes found to kill.

      Checking Registry for malware related settings:

      * No issues found in the Registry.

      Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

      Performing miscellaneous checks:

      * Windows Defender Disabled

      [HKLM\SOFTWARE\Microsoft\Windows Defender]
      "DisableAntiSpyware" = dword:00000001

      Searching for Missing Digital Signatures:

      * No issues found.

      Checking HOSTS File:

      * HOSTS file entries found:

      127.0.0.1 localhost

      Program finished at: 11/20/2017 01:34:17 AM
      Execution time: 0 hours(s), 2 minute(s), and 31 seconds(s)


      Malwarebytes encontró absolutamente nada.
      Log de AdwCleaner:
      # AdwCleaner 7.0.4.0 - Logfile created on Mon Nov 20 07:01:33 2017
      # Updated on 2017/27/10 by Malwarebytes
      # Database: 10-28-2017.1
      # Running on Windows 7 Professional (X64)
      # Mode: scan
      # Support: https://www.malwarebytes.com/support

      ***** [ Services ] *****

      No malicious services found.

      ***** [ Folders ] *****

      No malicious folders found.

      ***** [ Files ] *****

      No malicious files found.

      ***** [ DLL ] *****

      No malicious DLLs found.

      ***** [ WMI ] *****

      No malicious WMI found.

      ***** [ Shortcuts ] *****

      No malicious shortcuts found.

      ***** [ Tasks ] *****

      No malicious tasks found.

      ***** [ Registry ] *****

      No malicious registry entries found.

      ***** [ Firefox (and derivatives) ] *****

      PUP.Optional.Legacy, Plugin found: __MSG_extName__ -


      ***** [ Chromium (and derivatives) ] *****

      No malicious Chromium entries.

      *************************

      C:/AdwCleaner/AdwCleaner[C0].txt - [1842 B] - [2017/11/13 1:50:7]
      C:/AdwCleaner/AdwCleaner[S0].txt - [1817 B] - [2017/11/13 1:48:14]


      ########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt ##########


      Log de JRT en modo seguro:
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Junkware Removal Tool (JRT) by Malwarebytes
      Version: 8.1.4 (07.09.2017)
      Operating System: Windows 7 Professional x64
      Ran by Rosa M Castrillon (Limited) on 20/11/2017 at 2:09:19.60
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




      File System: 1

      Successfully deleted: C:\Windows\system32\Tasks\AviraSystemSpeedupUpdate (Task)

      Deleted the following from C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441\prefs.js
      user_pref(extensions.webextensions.uuids, {\[email protected]\:\76493b5f-bf6a-4c9d-bb8f-8de39ce8b67a\,\[email protected]\:\81eacd3c-1e08-4d6e-b481-0c3676c0eafd\,\



      Registry: 0





      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Scan was completed on 20/11/2017 at 2:11:05.21
      End of JRT log
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


      Log de JRT en modo normal:
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Junkware Removal Tool (JRT) by Malwarebytes
      Version: 8.1.4 (07.09.2017)
      Operating System: Windows 7 Professional x64
      Ran by Rosa M Castrillon (Administrator) on 20/11/2017 at 2:47:54.94
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




      File System: 9

      Successfully deleted: C:\Windows\system32\Tasks\AviraSystemSpeedupUpdate (Task)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6C5JKJSD (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D7UHZV4F (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DMDDWXYL (Temporary Internet Files Folder)
      Successfully deleted: C:\Users\Rosa M Castrillon\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XQYDTA0L (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6C5JKJSD (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D7UHZV4F (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DMDDWXYL (Temporary Internet Files Folder)
      Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XQYDTA0L (Temporary Internet Files Folder)

      Deleted the following from C:\Users\Rosa M Castrillon\AppData\Roaming\Mozilla\Firefox\Profiles\xhtaza74.default-1490483075583-1502592103441\prefs.js
      user_pref(extensions.webextensions.uuids, {\[email protected]\:\76493b5f-bf6a-4c9d-bb8f-8de39ce8b67a\,\[email protected]\:\81eacd3c-1e08-4d6e-b481-0c3676c0eafd\,\



      Registry: 0





      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Scan was completed on 20/11/2017 at 2:50:44.70
      End of JRT log
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

      Continua.....

    9. #9
      Warrior Avatar de @Miguelgrado
      Registrado
      dic 2005
      Ubicación
      Asturias-España
      Mensajes
      19.493

      Re: PC infectado, dejo logs de análisis:

      Los logs estaban bien, pero ahora solo comenta como va el pc
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Usuario Avatar de TotusTuus
      Registrado
      sep 2014
      Ubicación
      Colombia
      Mensajes
      64

      Re: PC infectado, dejo logs de análisis:

      Disculpenme pero por la prisa se me olvido comentar que luego de salir del modo a prueba de fallos repeti el analisis de JRT (por eso los dos logs), el caso es que termino y reinicie el PC, y luego de reiniciar se volvio a repetir lo que dije antes.

      No aparecio la M de Malwarebytes y lo abri para verificar que las protecciones estuvieran activas y me saco el mismo mensaje que escribi antes. Entonces lo reinicie, no aparecio la M, lo abri y ya tenia iniciado el analisis, lo deje terminar y no encontro nada, las protecciones quedaron activas pero la M no ha aparecido, hoy luego de encenderlo abri Malwarebytes y las protecciones estan activas pero la M no aparece.

      Es como si "lo que hizo JRT no le hubiera gustado a Malwarebytes" (disculpen mi ignorancia).

      Cuando estaba terminando el analisis que el mismo inicio salio un mensaje de Avira diciendo que bloqueo un acceso al registro lo que me hace pensar que Avira cualquier intento que se haga por acceder al registro y a los ficheros host lo bloquea aunque solo sea para analizar la presencia de malware.

      Revise Avira y efectivamente tiene marcadas por defecto las casillas de proteccion del registro y los ficheros host, busque si tiene un registro de sucesos y lo tiene pero no encontre una opcion para copiarlos en *.txt para pegar aqui esos registros. Creo que no tiene esa opcion o yo no supe buscar bien.

      Sobre la variabilidad del usuario Wiffi despues de los analisis y hoy ha aparecido el correcto (no lo ha vuelto a cambiar al antiguo) aunque durante los analisis estaba conectado con el titulo antiguo.

      Perdón pero olvide comentar algo que considero muy importante:
      Cuando mire en la carpeta de Malwarebytes los archivos que habían (por lo de las exclusiones) habilite Mostrar todos los archivos y carpetas ocultos, Desoculte archivos protegidos por el sistema operativo y también Desoculte extensiones de archivo para tipos de archivo conocido.

      El caso es que desde ahí se quedó todo así a pesar de que le he dado a restaurar los valores predeterminados pero no me funciona, sigue mostrando todo sin ocultarlo.

      Me parece muy extraño porque si entro a C: y a las carpetas Windows, Archivos de programa y Archivos de programa (x86) muestra todo. Pero si voy a C:\Usuarios\"El Usuario" en estas carpetas si está oculto y para ver ocultos tengo que habilitar que los muestre.

      Es como si algo se hubiera dañado, ayúdenme por favor a arreglarlo.

      Saludos.

    Página 1 de 4 1234 ÚltimoÚltimo