Intel Wireless - AutoIt

Es posible que quede algún resto de algún maleware. Vamos a usar una herramienta avanzada.

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Buenos dias, ya he realizado los pasos sugeridos, adjunto los informes generados: Addition.txt (62,7 KB) FRST.txt (143,2 KB)

imagen

Buenos dias. Ya analicé sus informes:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga y ejecuta DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3544324672-1335558093-2062980432-1001\...\Policies\Explorer: [] 
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\81.0.4044.138\Installer\chrmstp.exe [2020-05-08] (Google LLC -> Google LLC)
Task: {3C453CEA-3975-40D6-90F8-02936FBC9989} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
Task: {53783DB1-6733-483D-A09A-64FDBCABC838} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3544324672-1335558093-2062980432-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_211\bin\ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_211\bin\jp2ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\jp2ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF NewTab: Mozilla\Firefox\Profiles\rpunxizm.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT171001&iDate=2019-12-02 10:07:48&bName=&bitmask=0600
FF Notifications: Mozilla\Firefox\Profiles\rpunxizm.default -> hxxps://netfapx.com
FF Plugin: @java.com/DTPlugin,version=11.211.2 -> C:\Program Files\Java\jre1.8.0_211\bin\dtplugin\npDeployJava1.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.211.2 -> C:\Program Files\Java\jre1.8.0_211\bin\plugin2\npjp2.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.211.2 -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\dtplugin\npDeployJava1.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.211.2 -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\plugin2\npjp2.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin HKU\S-1-5-21-3544324672-1335558093-2062980432-1001: @acestream.net/acestreamplugin,version=3.1.20.2 -> C:\Users\USUARIO\AppData\Roaming\ACEStream\player\npace_plugin.dll [Ningún archivo]
FF Plugin HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399: @acestream.net/acestreamplugin,version=3.1.20.2 -> C:\Users\USUARIO\AppData\Roaming\ACEStream\player\npace_plugin.dll [Ningún archivo]
2020-05-17 23:19 - 2020-05-17 23:19 - 003303296 _____ (Nicolas Coolman) C:\Users\USUARIO\Downloads\ZHPCleaner.exe
2020-05-17 22:09 - 2020-05-17 23:56 - 025000959 _____ C:\Users\USUARIO\Downloads\ccsetup566.zip
2020-05-17 19:55 - 2020-05-17 19:55 - 008196784 _____ (Malwarebytes) C:\Users\USUARIO\Downloads\adwcleaner_8.0.4.exe
2020-04-28 12:45 - 2020-04-28 12:45 - 000000000 ____D C:\WINDOWS\SysWOW64\1033
2020-04-28 12:45 - 2020-04-28 12:45 - 000000000 ____D C:\WINDOWS\system32\1033
Java 8 Update 211 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180211F0}) (Version: 8.0.2110.12 - Oracle Corporation)
Java 8 Update 211 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180211F0}) (Version: 8.0.2110.12 - Oracle Corporation)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
AlternateDataStreams: C:\Users\Public\AppData:CSM [470]	
HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399\...\Policies\Explorer: [] 
CHR HKU\S-1-5-21-3544324672-1335558093-2062980432-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
C:\Program Files\Common Files\AVAST Software
C:\ProgramData\Intel
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Corregir y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

A continuación instala una versión actualizada de Java (la que tenías estaba desactualizada):

https://www.java.com/es/download/

Y finalmente actualiza tu Windows 10 a la versión 1909 (la tienes ahora en la versión 1903).

No te olvides informar del estado de tu equipo tras finalizar estos pasos.

Hola buenas,

ya hice todos los pasos segun lo indicado, adjunto el archivo que me pediste Fixlog.txt (19,9 KB) . Parece que el ordenador ahora funciona correctamente. Gracias PD: el hilo, en caso de estar el problema solucionado, lo tengo o puedo borrar? o eliminar los archivos adjuntos?

Gracias @Khamul por enviar el log del fix.

Necesitamos confirmar si la carpeta

C:\ProgramData\Intel

fue eliminada por nuestro script. Esta carpeta forma parte del virus Autoit. Necesitamos que usted acceda a esa carpeta. Si aún existe, enviamos una imagen con su contenido.

:arrow_right: Como Insertar una imagen.

1 me gusta

Hola,

si que exsite, adjunto imagenes con los que hay dentro:

Vamos a intentar eliminarlo pero esta vez aplicaremos el fix en modo seguro. Para ello sigue mis instrucciones:

1.- Desactiva Temporalmente tu antivirus.

2.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start:
CloseProcesses:
C:\ProgramData\Intel
EmptyTemp:
END:
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Inicias el equipo en Modo Seguro. >> Iniciar en “Modo a Prueba de Fallos en Windows 10.
  • Ejecutas Frst.exe.
  • Presionas el botón Corregir y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.
1 me gusta

Ya hice lo que me indicaste, la carpeta sigue estando igualemente. Adjunto el informeFixlog.txt (1,2 KB). PD: lo volvi a hacer de nuevo, y este es el archivo que genero Fixlog.txt (1,2 KB) la carpeta sigue estando.

¿Puedes comprobar si dentro de la carpeta C:\ProgramData\Intel existe la subcarpeta Wireless?

En caso de que exista, entonces vuelve a aplicar lo que te comenté en este mensaje:

Eliminar c:\ProgramData\Intel

Pero cambiando el script por

Start:
CloseProcesses:
C:\ProgramData\Intel\Wireless
EmptyTemp:
END:

Buenas, repeti los pasos con el nuevo script y sigue estando la carpetaFixlog.txt (1,2 KB) no se si hago algun paso mal o que…

Has hecho los pasos correctamente. Nos estamos centrando en una carpeta que suele ser creada/usada por el maleware Autoit y que estamos intentando eliminar.

Entra una a una en las carpetas dentro de c:\Programdata\Intel y eliminar manualmente lo que haya adentro de la carpeta Wireless y ShaderCache una vez vacías, intentar eliminar la carpeta manualmente.

IMPORTANTE: toma imágenes antes y después de reiniciar o incluso en Modo Seguro.

Hola, adjunto imagenes de lo que habia dentro de la carpeta Intel

. He podido eliminar todo menos la carpeta shader_cache los siguientes archivos que no me permite suprimir porque dice que lo esta utilizando windows, el explorador de windows, Configuracion, dwm.exe y el antivirus de windows defender

¿como sigue el equipo con respecto al problema inicial?

Enviame de nuevo imágenes con las carpetas dentro de C:\programdata\Intel. Queremos ver cuales se han regenerado automáticamente.

¿actualizaste Windows 10 a la versión 1909 tal como te aconsejé?

Buenas, si que actualice Windows a la version 1909; el equipo ahora ya no se queda realentizado cuando vuelve de la suspension automatica (se pone negro) aunque hace un par de dias si me paso. Adjunto imagenes con el contenido de las carpetas:

PD: si no me equivoco son las mismas que antes de realizar el paso sugerido.

Una duda, puede que me haya entrado otro virus, intente actualizar Malwarebytes (tenia la version 3.8) y como no me dejaba me baje uno de internet de la que parecia la pagina oficial (ahora tengo la version 4.1) pero tarda muchismo en cargar las paginas de internet, este es el informe del analisis rapido que hice, ahora estoy haciendo el personalizadomalwarebytes.txt (1,7 KB) Muchas gracias

Parece que vuelve a funcionar todo correctamente, hice el analisis personalizado y no detecto ninguna amenaza.

¿de donde obtuviste esa nueva versión de Malwarebytes?? Nosotros le dimos un enlace para ello.

Vamos a analizar su equipo esta vez con el programa Dr. Web Cureit. Visite y lea atentamente su Manual Dr Web Curelt!

Pon el informe tras finalizar la ejecución de Dr. Web.

Te recuerdo que NO instales absolutamente NADA hasta que NO acabemos.

Buenas noches frica, siento haber probado a instalar desde una pagina externa, adjunto el informe generado despues de ejecutar Dr. Web CureItCureIt.txt (863 Bytes) Muchas gracias por tu ayuda

Para eliminar algunas de las herramientas usadas, sigue estos pasos:

  • Para hacerlo descarga >>DelFix en tu escritorio . Consulta su manual en caso necesario.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador” )

  • Marca “ Remove desinfection tools ” .

  • Pulsar en Run .

Al terminar Se abrirá un reporte llamado DelFix.txt , verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.


Gracias a ti por confiar en ForoSpyware . Ha sido un placer ayudarte :handshake:

Nos alegramos que se haya resuelto tu problema. No te olvides de marcar el tema como Solucionado.

SOLUCIONADO

Como recomendación final , te invitamos a seguirnos en nuestros canales de difusión para estar al tanto de los nuevos malwares y cómo prevenirlos:

Blog

Twitter

Facebook