Intel Wireless - AutoIt

Buenas tardes, me he dado cuenta que mi ordenador con windows 10 al salir del bloqueo de pantalla por inactividad (pantalla negro) va extremadamente lento y ejecutando malwarebytes me salio que tenia troyano AutoIt en la carpeta Intel Wireless. He ejecutado Malwarebytes y eliminado a cuarentena y ya no sale nada, pero sigue yendo lento asi como ADWCleaner. ¿Me podriais ayudar? ¿Está ya eliminado el virus o sigue oculto? Muchas gracias. PD: He visto temas similares pero como dan una respuesta “personalizada” por eso abro este, perdon si es repetido.

Hola @khamul:

Bienvenido al foro InfoSpyware. Probablemente el mejor foro de ayuda informática de habla hispana.

¿Puedes enviarme el informe de Malewarebyte antimaleware?

Luego aunque hayas realizado algunos pasos haz lo sigueinte:

:one: CCleaner

Descarga, instala y/o actualiza Ccleaner

Consulta si es necesario su manual

  • Abres Ccleaner. Pestaña Custom Clean (Limpieza personalizada). Dejas como está configurada predeterminadamente :arrow_forward: haces clic en Analyze (Analizar) y esperas que termine :arrow_forward: clic en Run Cleaner (Ejecutar Limpiador).

:two: Malewarebytes Anti-Maleware

• Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware , revisa en detalle el manual, para que sepas usarlo y configurarlo.

  • Realiza un Escaneo Personalizado. Tienes instrucciones en su manual, apartado Análisis Personalizado.
  • Tras finalizar el escaneo envíame el informe que guarda Malewarebyte. Instrucciones para encontrar y enviarme el informe lo tienes en el Manual, apartado Informe del Análisis

:three: AdwCleaner

Descarga AdwCleaner | InfoSpyware en el escritorio.

• Cierra también todos los programas que tengas abiertos.

• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.)

• Pulsar en el botón Escanear , y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar .

• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas .

• Guardas el reporte que te aparecerá y lo anexas en un mensaje.

• El informe también se puede encontrar en C:\Archivos de programa o C: Archivos de programa(x86), si el sistema es de 64 bits –Adwcleaner- AdwCleaner[CX].txt

:four: ZHPCleaner

Ejecutar ZHPCleaner siguiendo su manual. Anexas el reporte en un nuevo mensaje del foro.

:five: CCleaner

  • clic en la pestaña Registro :arrow_forward: clic en buscar problemas y esperas que termine :arrow_forward: clic en Reparar Seleccionadas y haces una copia de seguridad

imagen

Por favor no pegue directamente los informes en su mensaje de respuesta ya que quedaría ilegible y no podré analizarlos dificultando que tus problemas sean resuelto. Sigue el método 2 o 3 indicados en la siguiente guía:

Cómo pegar informes en un mensaje

Esos son los informes generados por Malwarebytes en estos dias, ahora al hacer el analisis aparece que no hay amenzas. Por el virus puede ser que el ordenador vaya lento despues de que se “suspenda”? 16.05.20.txt (2,9 KB) 17.05.20.txt (2,3 KB)

Hola, los registros que adjunte anteriorimente son de antes de aplicar lo que me has dicho, ahora adjunto los que he obtenido tras seguir los pasos sugeridos: este es el de Malwarebytes Malwarebytes.txt (1,5 KB), estos los de AdwCleaner de antes y despues AdwCleaner[S01].txt (1,5 KB) AdwCleaner[C00].txt (4,8 KB) AdwCleaner[S00].txt (5,3 KB) y este el de ZHP ZHPCleaner ®.txt (17,7 KB)

Muchas gracias por tu ayuda.

Es posible que quede algún resto de algún maleware. Vamos a usar una herramienta avanzada.

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

3.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Buenos dias, ya he realizado los pasos sugeridos, adjunto los informes generados: Addition.txt (62,7 KB) FRST.txt (143,2 KB)

imagen

Buenos dias. Ya analicé sus informes:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga y ejecuta DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3544324672-1335558093-2062980432-1001\...\Policies\Explorer: [] 
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\81.0.4044.138\Installer\chrmstp.exe [2020-05-08] (Google LLC -> Google LLC)
Task: {3C453CEA-3975-40D6-90F8-02936FBC9989} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
Task: {53783DB1-6733-483D-A09A-64FDBCABC838} - \Microsoft\Windows\UNP\RunCampaignManager -> Ningún archivo <==== ATENCIÓN
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3544324672-1335558093-2062980432-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_211\bin\ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_211\bin\jp2ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\jp2ssv.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF NewTab: Mozilla\Firefox\Profiles\rpunxizm.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT171001&iDate=2019-12-02 10:07:48&bName=&bitmask=0600
FF Notifications: Mozilla\Firefox\Profiles\rpunxizm.default -> hxxps://netfapx.com
FF Plugin: @java.com/DTPlugin,version=11.211.2 -> C:\Program Files\Java\jre1.8.0_211\bin\dtplugin\npDeployJava1.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.211.2 -> C:\Program Files\Java\jre1.8.0_211\bin\plugin2\npjp2.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=11.211.2 -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\dtplugin\npDeployJava1.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.211.2 -> C:\Program Files (x86)\Java\jre1.8.0_211\bin\plugin2\npjp2.dll [2019-05-12] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin HKU\S-1-5-21-3544324672-1335558093-2062980432-1001: @acestream.net/acestreamplugin,version=3.1.20.2 -> C:\Users\USUARIO\AppData\Roaming\ACEStream\player\npace_plugin.dll [Ningún archivo]
FF Plugin HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399: @acestream.net/acestreamplugin,version=3.1.20.2 -> C:\Users\USUARIO\AppData\Roaming\ACEStream\player\npace_plugin.dll [Ningún archivo]
2020-05-17 23:19 - 2020-05-17 23:19 - 003303296 _____ (Nicolas Coolman) C:\Users\USUARIO\Downloads\ZHPCleaner.exe
2020-05-17 22:09 - 2020-05-17 23:56 - 025000959 _____ C:\Users\USUARIO\Downloads\ccsetup566.zip
2020-05-17 19:55 - 2020-05-17 19:55 - 008196784 _____ (Malwarebytes) C:\Users\USUARIO\Downloads\adwcleaner_8.0.4.exe
2020-04-28 12:45 - 2020-04-28 12:45 - 000000000 ____D C:\WINDOWS\SysWOW64\1033
2020-04-28 12:45 - 2020-04-28 12:45 - 000000000 ____D C:\WINDOWS\system32\1033
Java 8 Update 211 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180211F0}) (Version: 8.0.2110.12 - Oracle Corporation)
Java 8 Update 211 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180211F0}) (Version: 8.0.2110.12 - Oracle Corporation)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
AlternateDataStreams: C:\Users\Public\AppData:CSM [470]	
HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399\...\Policies\Explorer: [] 
CHR HKU\S-1-5-21-3544324672-1335558093-2062980432-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKU\S-1-5-21-3544324672-1335558093-2062980432-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05182020171709399\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
C:\Program Files\Common Files\AVAST Software
C:\ProgramData\Intel
CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Corregir y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

A continuación instala una versión actualizada de Java (la que tenías estaba desactualizada):

https://www.java.com/es/download/

Y finalmente actualiza tu Windows 10 a la versión 1909 (la tienes ahora en la versión 1903).

No te olvides informar del estado de tu equipo tras finalizar estos pasos.

Hola buenas,

ya hice todos los pasos segun lo indicado, adjunto el archivo que me pediste Fixlog.txt (19,9 KB) . Parece que el ordenador ahora funciona correctamente. Gracias PD: el hilo, en caso de estar el problema solucionado, lo tengo o puedo borrar? o eliminar los archivos adjuntos?

Gracias @Khamul por enviar el log del fix.

Necesitamos confirmar si la carpeta

C:\ProgramData\Intel

fue eliminada por nuestro script. Esta carpeta forma parte del virus Autoit. Necesitamos que usted acceda a esa carpeta. Si aún existe, enviamos una imagen con su contenido.

:arrow_right: Como Insertar una imagen.

1 me gusta

Hola,

si que exsite, adjunto imagenes con los que hay dentro:

Vamos a intentar eliminarlo pero esta vez aplicaremos el fix en modo seguro. Para ello sigue mis instrucciones:

1.- Desactiva Temporalmente tu antivirus.

2.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start:
CloseProcesses:
C:\ProgramData\Intel
EmptyTemp:
END:
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Inicias el equipo en Modo Seguro. >> Iniciar en “Modo a Prueba de Fallos en Windows 10.
  • Ejecutas Frst.exe.
  • Presionas el botón Corregir y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.
1 me gusta

Ya hice lo que me indicaste, la carpeta sigue estando igualemente. Adjunto el informeFixlog.txt (1,2 KB). PD: lo volvi a hacer de nuevo, y este es el archivo que genero Fixlog.txt (1,2 KB) la carpeta sigue estando.

¿Puedes comprobar si dentro de la carpeta C:\ProgramData\Intel existe la subcarpeta Wireless?

En caso de que exista, entonces vuelve a aplicar lo que te comenté en este mensaje:

Eliminar c:\ProgramData\Intel

Pero cambiando el script por

Start:
CloseProcesses:
C:\ProgramData\Intel\Wireless
EmptyTemp:
END:

Buenas, repeti los pasos con el nuevo script y sigue estando la carpetaFixlog.txt (1,2 KB) no se si hago algun paso mal o que…

Has hecho los pasos correctamente. Nos estamos centrando en una carpeta que suele ser creada/usada por el maleware Autoit y que estamos intentando eliminar.

Entra una a una en las carpetas dentro de c:\Programdata\Intel y eliminar manualmente lo que haya adentro de la carpeta Wireless y ShaderCache una vez vacías, intentar eliminar la carpeta manualmente.

IMPORTANTE: toma imágenes antes y después de reiniciar o incluso en Modo Seguro.

Hola, adjunto imagenes de lo que habia dentro de la carpeta Intel

. He podido eliminar todo menos la carpeta shader_cache los siguientes archivos que no me permite suprimir porque dice que lo esta utilizando windows, el explorador de windows, Configuracion, dwm.exe y el antivirus de windows defender

¿como sigue el equipo con respecto al problema inicial?

Enviame de nuevo imágenes con las carpetas dentro de C:\programdata\Intel. Queremos ver cuales se han regenerado automáticamente.

¿actualizaste Windows 10 a la versión 1909 tal como te aconsejé?

Buenas, si que actualice Windows a la version 1909; el equipo ahora ya no se queda realentizado cuando vuelve de la suspension automatica (se pone negro) aunque hace un par de dias si me paso. Adjunto imagenes con el contenido de las carpetas:

PD: si no me equivoco son las mismas que antes de realizar el paso sugerido.

Una duda, puede que me haya entrado otro virus, intente actualizar Malwarebytes (tenia la version 3.8) y como no me dejaba me baje uno de internet de la que parecia la pagina oficial (ahora tengo la version 4.1) pero tarda muchismo en cargar las paginas de internet, este es el informe del analisis rapido que hice, ahora estoy haciendo el personalizadomalwarebytes.txt (1,7 KB) Muchas gracias

Parece que vuelve a funcionar todo correctamente, hice el analisis personalizado y no detecto ninguna amenaza.