Ayuda: Ejecute archivo .vbs

Eliminar Malwares
1

Hola buenas tardes.

Hace unas horas ejecuté un archico .vbs contenido en un archivo rar de la pagina Mejores Torrentt

Al ejecutarlo no pasó nada aparentemente, pero en el cursor aprecia el simbolo de “cargando” de repente

Posteriormente la protección de windows detectó lo siguiente:

    Estado:Quitado

  Amenaza detectada: Behavior:Win32/Lekinik.B

  Nivel de alerta: Grave

  Fecha:20/07/2020

  Categoria: Comportamiento sospechoso

  Detalles: Este programa es peligroso y ejecuta comandos de un atacante.

  Elementos Afectados: behavior: pid:15060:138211793601246

  Process: pid:15060,ProcessStart:132397464683245122

Al abrir el administrador de tareas se queda trabado por unos momentos cargando las tareas, se puede ver que el cpu al 100% y luego baja a un 30% y el ventilador de mi laptop va un poco rápido con tareas muy simples como el navegador

Ya he realizado los pasos sugeridos de ejecutar limpieza y analisis con

-Ccleaner

-Malwarebytes

-adwcleaner

-Junk removal tool

-Farbar recovery scan tool

Malwarebytes y adwarecleaner arrojaron 0 amenazas

Junt Removal Muestra lo siguiente:

File System: 0 

Registry: 0

Mis reportes de Farbar removal son los siguientes: (una disculpa por subir los archivos, el texto supera el límite)

FRST.txt (295,1 KB)

Addition.txt (25,5 KB)

Espero puedan ayudarme y muchas gracias

2

Jorge espero que fuese un archivo digno el que descargaste.

Yo no tengo ni santa idea de virus. Pero te echo una mano; es posible que adjuntes cada reporte de todos los programas que has mencionado?

Hoy estoy de buen feeling asi que date prisa! ;). Te ayudamos de todos modos.

3

Claro estos son los reportes:

MalwareBytes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 20/7/20
Hora del análisis: 18:00
Archivo de registro: c9d37716-cadc-11ea-be87-000000000000.json

-Información del software-
Versión: 4.1.2.73
Versión de los componentes: 1.0.979
Versión del paquete de actualización: 1.0.27115
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 18362.959)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-QTUTL4N6\jimst

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 365308
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 4 min, 21 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Adwcleaner:

# -------------------------------
# Malwarebytes AdwCleaner 8.0.6.0
# -------------------------------
# Build:    06-24-2020
# Database: 2020-05-19.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    07-20-2020
# Duration: 00:00:02
# OS:       Windows 10 Home Single Language
# Cleaned:  0
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1422 octets] - [20/07/2020 18:18:59]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

JunkRemovoal

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 10 Home x64 
Ran by jimst (Administrator) on 20/07/2020 at 18:23:32.59
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0 




Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 20/07/2020 at 18:24:14.30
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

El de FRTS esta en la publicacion.

4

Juer! ni idea pero parece limpio. (Aquí binnish sin idea!. Sabes que nos expulsan de este foro??? jajja pero seguimos) Jorge te has fijado si tu ordenador está actualizado? Lo pregunto porque este finde salió un paquete gordote de actualizaciones. Requiere reinicio varias veces. Si quieres comprobar en la pestaña inferior izquierda pon Windows Update, comprueba que no se sea eso.

Un saludo y seguimos en la batalla hasta que nos interrumpan.

5

Hola @Jorge_Martinez y lo primero Bienvenido al nuevo Foro…!!

Veamos… SI yo te puedo seguir ayudando despues de haber analizado TODOS tus informes. :thinking:

Bien… y ahora sigue estos pasos, :arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe(en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla :white_check_mark: Create registry backup, las demás casillas NO. :face_with_monocle:

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

:warning: Con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Ningún archivo
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Ningún archivo
AlternateDataStreams: C:\Users\jimst\Desktop\adwcleaner_8.0.6.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\jimst\Desktop\FRST64.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\jimst\Desktop\JRT.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\jimst\Downloads\ccsetup568.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\jimst\Downloads\MBSetup-009996.009996-consumer.exe:SmartScreen [7]
AlternateDataStreams: C:\Users\jimst\Downloads\win10-radeon-software-adrenalin-2020-edition-20.7.2-july14.exe:SmartScreen [7]
Task: {58ACBD2C-8D9E-4DD1-9883-396097675EF9} - System32\Tasks\AdwCleaner_onReboot => C:\Users\jimst\Desktop\adwcleaner_8.0.6.exe [8420016 2020-07-20] (Malwarebytes Inc -> Malwarebytes)
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
2020-07-20 18:20 - 2020-07-20 18:20 - 000003172 _____ C:\Windows\system32\Tasks\AdwCleaner_onReboot
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe(Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.

Y ahora inicia tu equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows

Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).

  • Presionar el botón FIX/Corregir y aguardar a que termine.

  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pegar el contenido de este fichero en tu próxima respuesta. :+1:

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Saludos.

6

Hola @Binnish. :+1:

A que te refieres… con que te “expulsan de este foro”…??

Nos lo puedes aclarar…??

Gracias.

7

Antes este post estaba en ayuda general.

A eso me refería. Si se ponía turbia la cosa nos trasladarían a otro foro. Ya veo que se ha hecho.

Un cordial saludo, y sigue Javier.

Binnish.

1 me gusta