AutoIt

Eliminar Malwares
#1

Intenté descargar un juego desde una página que se llama gamezfull, el juego era Smackdown vs Raw 2007, se descargo un zip de 34kb algo así y lo descomprimi, apareció un instalador de Windows de unos 45kb se me hizo súper raro y se que estuvo muy mal pero decidí confiar y lo abrí.

Lo siguiente que ocurrió fue que se empezó a instalar un AutoIt con el nombre de Javi no sé que madre, el estado del mismo aparecía con en pausa pero al momento que esto sucede intento ejecutar Avast y no me dejaba abrirlo.

Windows Defender igual, no podía abrir absolutamente nada con respecto al tema de seguridad, fue hasta que cerré la aplicación “invisible” que pude abrir Avast, ejecute análisis y salía que todo está excelente.

Windows Defender se “actualizo” pero aparecía un error que no podía identificar la definición de protección y ahí fue que pensé que todo había valido, mi laptop abrió “windows Udpdate” y empezó a actualizarse, ahorita si la enciendo está a nada de continuar con la actualización porque ya se descargo, no sé que hacer. :frowning:

#2

Hola @MPED7

Por el momento solo Malwarebytes detecta y elimina esa infección.

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes Versión 4

  • Lo ejecutas siguiendo los pasos de su Manual.
  • Realizas un Análisis de Amenazas
  • Revisa especialmente como salvar el reporte.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

#3 

# -------------------------------
# Malwarebytes AdwCleaner 8.0.2.0
# -------------------------------
# Build:    01-27-2020
# Database: 2020-02-26.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    03-01-2020
# Duration: 00:00:42
# OS:       Windows 10 Home Single Language
# Cleaned:  50
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Program Files (x86)\Common Files\IObit\Advanced SystemCare
Deleted       C:\ProgramData\BSD\DriverHive
Deleted       C:\ProgramData\BSD\DriverHiveEngine
Deleted       C:\ProgramData\IObit\Advanced SystemCare
Deleted       C:\ProgramData\Solvusoft
Deleted       C:\Users\Abimael\AppData\LocalLow\IObit\Advanced SystemCare
Deleted       C:\Users\Abimael\AppData\Roaming\IObit\Advanced SystemCare
Deleted       C:\Users\Public\Documents\Downloaded Installers

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\BSD
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\chatango.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\claro.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\dotomi.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\morphvox-voice-changer.softonic.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\reimageplus.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\s.thebrighttag.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\softonic.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\st.chatango.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\thebrighttag.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.reimageplus.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\chatango.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\claro.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\dotomi.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\reimageplus.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\s.thebrighttag.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\softonic.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\st.chatango.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\thebrighttag.com
Deleted       HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.reimageplus.com
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Advanced SystemCare 11
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{3B65637D-8459-49EC-9B17-F34BFEB93787}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{CF1495B2-0CD0-42A4-8D80-9252DF281B2A}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D7B6329B-147C-4956-82A1-B11C86D24F4A}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{EDD73325-24A5-427F-BD16-F376CD2F177F}
Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Reimage
Deleted       HKLM\Software\Reimage
Deleted       HKLM\Software\Wow6432Node\BSD
Deleted       HKLM\Software\Wow6432Node\IOBIT\ASC
Deleted       HKLM\Software\Wow6432Node\IObit\Advanced SystemCare
Deleted       HKLM\Software\Wow6432Node\IObit\RealTimeProtector
Deleted       HKLM\Software\Wow6432Node\SlimWare Utilities Inc
Deleted       HKLM\Software\Wow6432Node\\Google\Chrome\NativeMessagingHosts\com.ascplugin.protect
Not Deleted   HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\morphvox-voice-changer.softonic.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.ASUSSmartGesture   Folder   C:\Program Files (x86)\ASUS\ASUS SMART GESTURE
Deleted       Preinstalled.ASUSSmartGesture   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{922022A7-373D-494A-A215-7BD6E2169066} 
Deleted       Preinstalled.ASUSSmartGesture   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS Smart Gesture Launcher
Deleted       Preinstalled.ASUSSmartGesture   Registry   HKLM\Software\Classes\CLSID\{F31B5912-07D6-4895-B4BA-5486CF3B18B1}
Deleted       Preinstalled.ASUSSmartGesture   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4D3286A6-F6AB-498A-82A4-E4F040529F3D}
Deleted       Preinstalled.ASUSSmartGesture   Task   C:\Windows\System32\Tasks\ASUS SMART GESTURE LAUNCHER
Deleted       Preinstalled.EpsonCustomerResearchParticipation   Folder   C:\Program Files\EPSON\EPSONCUSTOMERRESEARCHPARTICIPATION
Deleted       Preinstalled.EpsonCustomerResearchParticipation   Folder   C:\ProgramData\EPSON\EPSONCUSTOMERRESEARCHPARTICIPATION
Deleted       Preinstalled.EpsonCustomerResearchParticipation   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B26449A6-6007-4460-B4FE-C4776115BCEA}


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [9243 octets] - [01/03/2020 22:51:22]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
#4 


~ ZHPCleaner v2020.2.14.178 by Nicolas Coolman (2020/02/14)
~ Run by Abimael (Administrator)  (01/03/2020 23:43:22)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Reparar
~ Report : C:\Users\Abimael\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Abimael\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home Single Language, 64-bit  (Build 18363)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (21)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (11)
MOVIDO carpeta: C:\Users\Abimael\Desktop\µTorrent.lnk  [Bad : C:\Users\Abimael\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
MOVIDO carpeta: C:\Users\Abimael\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk  [Bad : C:\Users\Abimael\AppData\Roaming\uTorrent\uTorrent.exe](.BitTorrent Inc..)  =>BitTorrent (P2P)
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGE.EXE-02B30964.pf    =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEAPP.EXE-E3111B2C.pf    =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEPACKAGE.EXE-44BFFE23.pf    =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEREMINDER.EXE-A9DA5B12.pf    =>SUP.Optional.ReimageRepair
MOVIDO carpeta: C:\Windows\Prefetch\REIMAGEREPAIR (1).EXE-FEAB2C66.pf    =>SUP.Optional.ReimageRepair
MOVIDO archivo: C:\Users\Abimael\AppData\Roaming\IOBIT\Driver Booster  =>.SUP.Energize
MOVIDO archivo: C:\ProgramData\IOBIT\Driver Booster  =>.SUP.Energize
MOVIDO archivo: C:\ProgramData\Application Data\IObit\ASCDownloader  =>SUP.Optional.AdvancedSystemCare
MOVIDO archivo: C:\ProgramData\IObit\ASCDownloader  =>SUP.Optional.AdvancedSystemCare


---\\  Registro ( Claves, Valores, Datos) (8)
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e28087b0-ff92-4f69-88e2-1e6b43fd6f9f}\\NameServer [Bad : 100.120.104.1]  =>Hijacker.Browser
BORRADOS clave*: HKLM\SOFTWARE\Wow6432Node\IObit\Driver Booster [AdditionalScan 287]  =>.SUP.DriverBoost
BORRADOS clave*: HKEY_USERS\S-1-5-21-640144903-1270033635-3116370024-1001\SOFTWARE\Popcorn Time []  =>.SUP.PopcornTime
BORRADOS clave*: HKEY_USERS\S-1-5-21-640144903-1270033635-3116370024-1001\SOFTWARE\PopcornTime []  =>.SUP.PopcornTime
BORRADOS clave**: HKCU\Software\Popcorn Time []  =>.SUP.PopcornTime
BORRADOS clave**: HKCU\Software\PopcornTime []  =>.SUP.PopcornTime
BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent [BitTorrent Inc.]  =>BitTorrent (P2P)
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0882F77BF40F7795899358006AEBD8AE [C:\Program Files (x86)\Microsoft Visual Studio 14.0\VC\atlmfc\include\Aqua\PopupBar\ResizeBar.png]  =>Adware.Sambreel


---\\  Resumen de elementos en su estación de trabajo (8)
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>BitTorrent (P2P)
https://nicolascoolman.eu/2017/01/27/superfluous-reimagerepair/  =>SUP.Optional.ReimageRepair
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.Energize
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>SUP.Optional.AdvancedSystemCare
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/  =>Hijacker.Browser
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.DriverBoost
https://nicolascoolman.eu/2017/02/26/superfluous-popcorntime/  =>.SUP.PopcornTime
https://nicolascoolman.eu/2017/09/24/adware-sambreel/  =>Adware.Sambreel


---\\ Limpieza adicional. (7)
~ Clave de registro Tracing borrados (7)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 2124
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/16


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto





~ End of clean in 00h00mn27s

---\\  Reporte (2)
ZHPCleaner-[S]-01032020-23_38_18.txt
ZHPCleaner-[R]-01032020-23_43_49.txt
#5 

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 1/3/20
Hora del análisis: 23:46
Archivo de registro: 36d3f320-5c49-11ea-84eb-2c4d54375002.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.835
Versión del paquete de actualización: 1.0.20092
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18362.657)
CPU: x64
Sistema de archivos: NTFS
Usuario: ABIMAEL\Abimael

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 315162
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 3 min, 27 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
#6

Disculpa la tardanza pero estaba tratando de hacer las cosas bien y en orden, esos fueron los resultados que me lanzo la última prueba que realice en el orden que me indicaste, se realizaron algunos movimientos en la pc y pude notar que ya no existían varios errores que aparecieron en los análisis. Checando un análisis que hice con FRST vi un par de archivos que se crearon al momento de abrir el archivo que instalo el AutoIt, llevan por nombre A.vbs, B, B_ y Bx

#7

1583137939120814227426490124175
15831379391208142274264901241752016×1512 428 KB

#8

15831382265425696558687591525204
158313822654256965586875915252041512×2016 813 KB

#9

Ya no inicia absolutamente nada, ahora qué puedo hacer?

#10

Está fue la.pagina de dónde obtuve la madre esa que descargue e instale :frowning: le de en el Google Drive y se descargo un zip y de ahí un instalador de Windows y todo se fue al carajo.

#11

Hola, solo aclarar una cosita. Descargaste el archivo incorrecto, de las publicidades.

Esto pasa por no estar atentlo puesto que en la misma pagina te dice Tamaño: 382MB (ISO) Cosa que NO se corresponde a lo que tú haz descargado.

El Enlace de Google drive, lo más chistoso es que no está disponible

Saludos y continúen en paz.

#12

Pues chistoso, chistoso no es jaja o sea si sé que tuve que estar más atento pero espero tenga solución esto, si no pues estaré muy triste :frowning:

1 me gusta
#13

Ahora sí, pongamosnos serios:

En la pantalla azul de reparación automática ponle opciones avanzadas > solución de problemas > reparación de inicio.

Saludos

#14

Hola chicos:

@MPED7

Esto paso inmediatamente luego de los análisis o hiciste tu algo por tu cuenta ??

Realiza los pasos que te comenta @DarkGhost haciendo la reparación de Inicio y nos comentas si funciono.

Si aun no te inicia dinos si tienes acceso a otro equipo y a un Usb limpio.

Nos comentas.

Salu2

#15

Hice los pasos tal cual y en el orden que me indicaste, después de eso Windows Udpdate actualizo algo del NET Frame e intento actualizar la última versión del Windows 1909, creo, que salió el 28 de febrero o algo así y ya después de eso, reinicio porque terminó de descargar el NET Frame y se fue, ya se quedó así como lo muestro en las imágenes

#16

Hola:

Pero seguiste los pasos para realizar la reparación de Inicio???

Salu2