Fui infectado con esto Trojan:Script/Oneeva.A!ml Trojan:Win32/AgentTesla!ml

Hola nuevamente,

Realiza lo siguiente:

:one: Crea una copia de seguridad del registro con Registry Backup, no importa si es la versión portable o instalable:

Tweaking Registry Backup

  • Después de instalar o descomprimir ejecuta el programa (de ser portable es el ejecutable TweakingRegistryBackup.exe).
  • Asegurate que en la pestaña Registry Backup este todo marcado.
  • En Backup Name puedes dejarlo por defecto o asignar algún nombre
  • Presiona el botón BackUp now

:two: Deshabilita nuevamente tu antivirus: ¿Cómo deshabilitar temporalmente su Antivirus?

:three: En el equipo, con los demás programas cerrados abra el notepad; puede abrirlo en la barra de búsqueda de windows y escribiendo notepad.exe

Posteriormente, copie y pegue este script de reparación dentro del Notepad comenzando en Start y terminando en End:

Start
SystemRestore: On
CreateRestorePoint:
CloseProcesses:

AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3018]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3018]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3018]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3018]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3018]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3018]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3018]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3018]
AlternateDataStreams: C:\Users\magno\AppData\Local\Temp:$DATA​ [16]
FirewallRules: [TCP Query User{36A5EF8A-08C1-4AEE-B7C7-6D930AA845BB}C:5\wwzretail.exe] => (Allow) C:5\wwzretail.exe => Ningún archivo
FirewallRules: [UDP Query User{DA932284-ED07-44CF-A45F-70FB462E873C}C:5\wwzretail.exe] => (Allow) C:5\wwzretail.exe => Ningún archivo
unlock: C:\Users\magno\AppData\Local\Temp\ehdrv.sys
unlock: C:\WINDOWS\system32\SgrmBroker.exe
File:C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe; C:\WINDOWS\system32\SgrmBroker.exe; C:\Users\magno\AppData\Local\Temp\ehdrv.sys

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers 
EmptyTemp:
End
  • Vaya a Archivo y selecciona Guardar Como.
  • En la parte de Codificación elija Unicode o UTF8 según le de la opción.
  • Guárdelo bajo el nombre de fixlist.txt en el escritorio al igual que FRST. Esto es muy importante.

¡:warning:ATENCIÓN! El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo

  • Ejecute Frst.exe. y presione el botón Fix / Corregir
  • Espere pacientemente a que termine y no use el equipo. Al terminar el equipo podría reiniciarse
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).

:four: Revisa el siguiente enlace y ejecuta AdwCleaner:

Procura seguir el manual los siguientes apartados:

  1. Descarga y ejecución
  2. Analizar y limpiar
  3. Informes

Nos traerías:

  1. El reporte de FRST (Fixlog.txt)
  2. El reporte de Adwcleaner
  3. Cualquier comentario de como siga el problema y el equipo.

Saludos