AutoIt v3 Script

Bfenix · 17 Agosto, 2019 13:13

Buenas tardes, Creo que estoy infectado por este malware. Aparece en el start manager pero no puedo eliminarlo. Agradecería ayuda para la desinfección. PC sobremesa, Windows 7 pro. 64 bit

frica · 17 Agosto, 2019 13:31

Hola @Bfenix.

CCleaner

Descarga, instala y/o actualiza Ccleaner

Consulta si es necesario su manual

Abres Ccleaner. Pestaña Custom Clean (Limpieza personalizada). Dejas como está configurada predeterminadamente haces clic en Analyze (Analizar) y esperas que termine clic en Run Cleaner (Ejecutar Limpiador).

Malewarebytes Anti-Maleware

Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware , revisa en detalle el manual, para que sepas usarlo y configurarlo. Te doy las instrucciones de esta versión 3:

Realiza un Análisis Personalizado (Scan > Custom Scan > botón Configure Scan) , marcando Todas las casillas de la derecha y de la Izquierda actualizando si te lo pide. Ver la imagen mostrada para mayor claridad.
Pulsar en “Eliminar Seleccionados” para enviarlo a la cuarentena y Reinicias el sistema.
Para acceder posteriormente al informe del análisis: Informes >> Registro de análisis >> Pulsar en >> Exportar >> Copiar al Portapapeles, y lo pegas en tu respuesta

imagen

AdwCleaner

Descarga AdwCleaner | InfoSpyware en el escritorio.

• Cierra también todos los programas que tengas abiertos.

• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.)

• Pulsar en el botón Escanear , y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar .

• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas .

• Guardas el reporte que te aparecerá y lo anexas en un mensaje.

• El informe también se puede encontrar en C:\Archivos de programa o C: Archivos de programa(x86), si el sistema es de 64 bits –Adwcleaner- AdwCleaner[CX].txt

ZHPCleaner

Ejecutar ZHPCleaner siguiendo su manual. Anexas el reporte en un nuevo mensaje del foro.

CCleaner

clic en la pestaña Registro clic en buscar problemas y esperas que termine clic en Reparar Seleccionadas y haces una copia de seguridad

imagen

Bfenix · 17 Agosto, 2019 16:17

Hola Francisco,

Muchas gracias por la respuesta tan rápida a mi problema. De hecho ya había probado los programas de desinfección que me indicas, no obstante los vuelvo a ejecutar en el orden que me aconsejas y adjuntando los resultados:

Malwarebytes

www.malwarebytes.com

-Detalles del registro-

Fecha del análisis: 17/8/19

Hora del análisis: 15:37

Archivo de registro: 2aafa5a8-c0f4-11e9-9aa0-5404a6938746.json

-Información del software-

Versión: 3.8.3.2965

Versión de los componentes: 1.0.613

Versión del paquete de actualización: 1.0.12055

Licencia: Gratis

-Información del sistema-

SO: Windows 7 Service Pack 1

CPU: x64

Sistema de archivos: NTFS

Usuario: Usuario-PC\Usuario

-Resumen del análisis-

Tipo de análisis: Análisis personalizado

Análisis iniciado por:: Manual

Resultado: Completado

Objetos analizados: 351114

Amenazas detectadas: 0

Amenazas en cuarentena: 0

Tiempo transcurrido: 2 hr, 2 min, 49 seg

-Opciones de análisis-

Memoria: Activado

Inicio: Activado

Sistema de archivos: Activado

Archivo: Activado

Rootkits: Activado

Heurística: Activado

PUP: Detectar

PUM: Detectar

-Detalles del análisis-

Proceso: 0

(No hay elementos maliciosos detectados)

Módulo: 0

(No hay elementos maliciosos detectados)

Clave del registro: 0

(No hay elementos maliciosos detectados)

Valor del registro: 0

(No hay elementos maliciosos detectados)

Datos del registro: 0

(No hay elementos maliciosos detectados)

Secuencia de datos: 0

(No hay elementos maliciosos detectados)

Carpeta: 0

(No hay elementos maliciosos detectados)

Archivo: 0

(No hay elementos maliciosos detectados)

Sector físico: 0

(No hay elementos maliciosos detectados)

WMI: 0

(No hay elementos maliciosos detectados)

(end)

Bfenix · 17 Agosto, 2019 16:17

AdwCleaner

# -------------------------------

# Malwarebytes AdwCleaner 7.4.0.0

# -------------------------------

# Build: 07-23-2019

# Database: 2019-08-13.1 (Cloud)

# Support: https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Scan

# -------------------------------

# Start: 08-17-2019

# Duration: 00:00:20

# OS: Windows 7 Professional

# Scanned: 35493

# Detected: 0

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.

AdwCleaner[S00].txt - [1257 octets] - [16/07/2019 15:46:24]

AdwCleaner[S01].txt - [1537 octets] - [17/08/2019 11:32:56]

AdwCleaner[C01].txt - [1678 octets] - [17/08/2019 11:34:03]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S02].txt ##########

Bfenix · 17 Agosto, 2019 16:18

ZHPCleaner

~ ZHPCleaner v2019.8.16.122 by Nicolas Coolman (2019/08/16)

~ Run by Usuario (Administrator) (17/08/2019 18:07:09)~ Web: https://www.nicolascoolman.com

~ Blog: https://nicolascoolman.eu/

~ Facebook : https://www.facebook.com/nicolascoolman1

~ State version : Version KO

~ Certificate ZHPCleaner: Legal

~ Type : Reparar

~ Report : C:\Users\Usuario\Desktop\ZHPCleaner (R).txt

~ Quarantine : C:\Users\Usuario\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt

~ System Restore Point : OK

~ UAC : Deactivate

~ Boot Mode : Normal (Normal boot)

Windows 7 Professional, 64-bit Service Pack 1 (Build 7601)

---\\ Alternate Data Stream (ADS). (0)

~ No malintencionados o innecesarios artículos encontrados.

---\\ Servicios (0)

~ No malintencionados o innecesarios artículos encontrados.

---\\ Navegadores de Internet (0)

~ No malintencionados o innecesarios artículos encontrados.

---\\ Hosts carpeta (1)

~ El archivo hosts es legítimo (1)

---\\ Tareas automáticas programadas. (0)

~ No malintencionados o innecesarios artículos encontrados.

---\\ Explorador ( Archivos, Carpetas ) (3)

MOVIDO carpeta^: C:\Users\Usuario\AppData\Local\Temp\48117e0 =>.SUP.Temporary.Empty

MOVIDO carpeta**: C:\Users\Usuario\AppData\Local\Temp\CUsersUsuarioAppDataLocalProgramsOpera62.0.3331.116opera_autoupdate.download.lock =>.SUP.Temporary.Opera

MOVIDO carpeta**: C:\Users\Usuario\AppData\Local\Temp\~DF0B348C067689BEB5.TMP =>.SUP.Temporary.Other

---\\ Registro ( Claves, Valores, Datos) (5)

BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files (x86)\WonderFox Soft\HD Video Converter Factory\VideoConverterFactory.exe [VideoConverterFactory] =>.SUP.Orphan.MUICache

BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files\Malwarebytes\Anti-Malware\mbam.exe [Malwarebytes] =>.SUP.Orphan.MUICache

BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files (x86)\Common Files\AVSMedia\MobileUploader\AVSMobileUploader.exe [AVS Mobile Uploader] =>.SUP.Orphan.MUICache

BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files (x86)\Common Files\AVSMedia\BurnerService\AVSVideoBurner.exe [AVS Video Burner] =>.SUP.Orphan.MUICache

BORRADOS valor: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files (x86)\Common Files\AVSMedia\VideoUploader\AVSVideoUploader.exe [AVS Video Uploader] =>.SUP.Orphan.MUICache

---\\ Resumen de elementos en su estación de trabajo (4)

https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.Empty

https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Temporary.Opera

https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.Other

https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Orphan.MUICache

---\\ Limpieza adicional. (16)

~ Clave de registro Tracing borrados (16)

~ Quitar los antiguos informes de ZHPCleaner. (0)

---\\ Resultado de la reparación.

~ Reparación llevada a cabo con éxito

~ El sistema ha sido reiniciado.

---\\ STATISTIQUES

~ Items escaneado : 2000

~ Items encontrado : 0

~ artículos cancelados : 0

~ Items opciones : 13/13

~ Ahorro de espacio (bytes) : 32768

~ End of clean in 00h00mn35s

---\\ Reporte (4)

ZHPCleaner-[R]-17082019-14_18_48.txt

ZHPCleaner-[S]-17082019-14_06_39.txt

ZHPCleaner-[S]-17082019-18_06_10.txt

ZHPCleaner-[R]-17082019-18_07_44.txt

frica · 17 Agosto, 2019 17:34

Efectivamente su pc parece bastante limpio de malewares. Vamos a usar otro software antimaleware:

Realiza un escaneo en línea ESET Online Scanner

Desactiva el Antivirus.
Descarga y ejecuta ESET Online según el manual que te dejo.
Después de realizar el escaneo, vuelves a activar el Antivirus
Me envías el informe del análisis (ver el Manual).

Manual de ESET Online Scanner.

Limpieza de basura

A continuación vamos a eliminar basura y restos inservibles de tu PC.

Para limpiar la basura de su equipo, realiza los pasos de este mensaje del foro :

Bfenix · 17 Agosto, 2019 17:42

Entiendo que de momento me olvido del ESET, y priorizo la limpieza según los pasos del link del foro?

frica · 17 Agosto, 2019 17:49

Primero ejecutar ESET y posteriormente la limpieza.

Y además comentamos como sigue el problema que tenías…

Bfenix · 17 Agosto, 2019 20:12

Ejecutado ESET. Adjunto resultado. No he restaurado archivos en cuarentena.

17/08/2019 22:03:04
Archivos explorados: 276491
Archivos infectados: 9
Amenazas eliminadas: 7
Tiempo total de exploración 01:50:10
Estado de la exploración: Finalizado
C:\Program Files (x86)\AVG\Antivirus\setup\aswOfferTool.exe	Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura	error al eliminando (Acceso denegado)

C:\Program Files (x86)\AVG\Antivirus\setup\offertool_x64_ais-c1a.vpx	Win32/Bundled.Toolbar.Google.D aplicación potencialmente no segura	error al eliminando (Acceso denegado)

C:\ProgramData\TempLogs\common.dll	una variante de Win32/DNSChanger.NDV troyano	desinfectado por eliminación

C:\Users\Usuario\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00011f	una variante de Win32/AnMalPro.C aplicación potencialmente no deseada	desinfectado por eliminación

C:\Users\Usuario\PAPA\Programas\Adaware\Ad-Aware96Install.msi	una variante de Win32/Toolbar.Visicom.A aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.B aplicación potencialmente no deseada,una variante de Win32/Toolbar.Visicom.C aplicación potencialmente no deseada	eliminado

C:\Users\Usuario\PAPA\Programas\JDownloader\JDownloaderSetup.exe	una variante de Win32/Kikin.A aplicación potencialmente no deseada,Win32/Kikin.A aplicación potencialmente no deseada	desinfectado por eliminación

C:\Users\Usuario\PAPA\Programas\zzz\W7L.rar	una variante de Win32/HackTool.WinActivator.I aplicación potencialmente no segura	eliminado

C:\Users\Usuario\PAPA\Programas\driver-booster-4-4-0-512.exe	una variante de Win32/IObit.I aplicación potencialmente no deseada,una variante de Win32/IObit.N aplicación potencialmente no deseada,una variante de Win32/IObit.L aplicación potencialmente no deseada,una variante de Win32/IObit.D aplicación potencialmente no deseada	desinfectado por eliminación

C:\Windows\Installer\1de8376.msi	una variante de Win32/Toolbar.Iminent.E aplicación potencialmente no deseada,una variante de Win32/Toolbar.Softomate.A aplicación potencialmente no deseada	eliminado

Bfenix · 17 Agosto, 2019 20:20

Sigue el problema en el start manager. AutoIt v3 Script Ruta: C:\ProgramData\Intel\Wireless\290c2f3\ghcbaga.exe C:\ProgramData\Intel\Wireless\290c2f3\193e125.au3

frica · 17 Agosto, 2019 20:20

¿hiciste la limpieza con Ccleaner y los otros dos programas que te indiqué?

Tras aplicar estos tres programas, por favor informa de como va el PC.

Bfenix · 17 Agosto, 2019 20:56

Limpieza efectuada. Persiste el programa malicioso.

Bfenix · 17 Agosto, 2019 21:31

He eliminado la carpeta “Intel” que contenia el programa malicioso utilizando el programa"unlocker" y ya no aparece dicho programa en el start manager. Por mi parte apago ya el PC y me voy a descansar hasta mañana. Gracias por su colaboración.

JavierHF · 17 Agosto, 2019 22:10

Hola y con permiso.

Y esa carpeta “Intel” solo contenía ese programa…

O borraste algo más.??

Bfenix · 18 Agosto, 2019 07:31

Buenos dias, La carpeta “Intel” estaba ubicada en la ruta C:\archivos de programa y contenía a su vez otra carpeta “Wireless”. Esta ultima contenía un ejecutable “Autoit V3 Script” y dos carpetas mas, una de ellas con un archivo pe.bin y un acceso directo a internet y la otra con una serie de archivos de texto que se generaron en diferentes fechas (imagino que cada vez que me conectaba a internet desde la fecha de infección). Otra carpeta “intel” está ubicada en la ruta C:\ que contiene archivos .log y otra en la ruta C:\Archivos de programa (x86), pero imagino que estas ultimas pertenecen al sistema (gráficos). Como ya indicaba ayer, eliminé la primera de todas con el “unlocker”, y ya no aparece el Autoit V3 Script en los programas de inicio al arrancar el sistema… El PC parece ir bien, lo que si observo es quizás una mayor rapidez, seguramente por la limpieza que hice siguiendo tus instrucciones. Ya me darás tu opinión, y si consideras que debemos cerrar el tema. Gracias de nuevo.

frica · 18 Agosto, 2019 09:26

Al parecer carpeta que usted borró es legítima de Windows. Eso no significa que no tenga malewares pero la forma en la que usted procedió no es la mas correcta. Espero no tenga problemas relacionados con las conexiones wireless.

Nos debió haber informado sobre sus evidencias de que el maleware estaba en dicha carpeta y en dicho fichero y hubieramos procedido de la mejor forma posible.

En este for hemos solucionado en varias ocasiones problemas con el AutoIt, si bien solo fueron necesarios los pasos que le indiqué para solucionarlo. No se decirle porqué en esta ocasión no se detectó al maleware. Posiblemente tuvieras restos de él.

Si no tienes más problemas relacionados con este tema, dinos si lo damos por solucionado.

Bfenix · 18 Agosto, 2019 09:37

Acepto la “reprimenda” que me servirá para posibles y futuras consultas. En principio todo parece ir bien, incluida la conexión wireless, por tanto por mi parte pueden dar por cerrado el tema, no sin antes agradecerles el tiempo y dedicación exquisita con la que siempre atienden a nuestras consultas.

frica · 18 Agosto, 2019 09:40

Con Autoit hay casos en los que se soluciona con más facilidad (pasando las herramientas habituales en este foro) pero en otros casos quedan restos y es necesario pasarle una herramienta potente con FRST.

Gracias a ti por confiar en ForoSpyware . Ha sido un placer ayudarte

Nos alegramos que se haya resuelto tu problema. Damos el tema por

SOLUCIONADO

Como recomendación final , te invitamos a seguirnos en nuestros canales de difusión para estar al tanto de los nuevos malwares y cómo prevenirlos:

Blog

Twitter

Facebook