Malware (Posible Troyano/s)

Buenas tardes,

Esta mañana he notado actividad sospechosa en el Administrador de Tareas, provenientes de tres tareas del Bloc de Notas que estaban comiendose prácticamente el 100% de la CPU. Tras esto, he corrido el Malwarebytes y entre otras cosas, me ha notificado que hay “Trojan.Agent.Generic” en una ruta situada en: ProgramData/Intel/Wireless.

Tras aumentar mi mosqueo y habiendo leido algún tema del foro, he corrido el Farbar Recovery Scan Tool. Adjunto en este mensaje los txt tras el analisis. Si alguien fuese tan amable de ayudarme a solucionar el problema… Muchas gracias de antemano!

Addition.txt (44,3 KB) FRST.txt (82,9 KB)

Hola @BeThor,Bienvenido al Foro!!!

Pon el reporte de Malwarebytes para revisarlo también.

Un saludo

Hola @Daniela, adjunto los reportes que he realizado hasta el momento durante la mañana.

Nuevamente, gracias. mwb1.txt (4,0 KB) mwb2.txt (2,4 KB)

mwb3.txt (1,5 KB) mwb4.txt (2,3 KB)

mwb5.txt (3,0 KB) mwb6.txt (1,5 KB)

Cada uno era distinto al anterior, por eso he adjuntado varios.

Un saludo.

Hola

Ya puedes perdonar, se me pasó tu tema :pray:

Mueve FRST al escritorio si no fallará el siguiente paso.

:arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe( en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

A continuación :warning: con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKU\S-1-5-21-2121011719-3623789946-4113952497-1001\...\MountPoints2: {6a354a1a-6adc-11ea-9c9b-405bd868f06a} - "E:\setup.exe" 
HKU\S-1-5-21-2121011719-3623789946-4113952497-1001\...\MountPoints2: {6a354a41-6adc-11ea-9c9b-405bd868f06a} - "F:\setup.exe" 
CustomCLSID: HKU\S-1-5-21-2121011719-3623789946-4113952497-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\tomas\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-2121011719-3623789946-4113952497-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\tomas\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => Ningún archivo
CustomCLSID: HKU\S-1-5-21-2121011719-3623789946-4113952497-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\tomas\AppData\Local\Microsoft\OneDrive\19.232.1124.0008\amd64\FileSyncShell64.dll => Ningún archivo
FirewallRules: [{FABB7C8C-D9B0-408D-B320-DDF25018E3CA}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Ningún archivo
FirewallRules: [{523A056F-75ED-4CD7-9E4D-DA016D6939D4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Ningún archivo
FirewallRules: [TCP Query User{136EDECB-E110-4BEF-9450-47A669768A06}C:\program files (x86)\steam\steamapps\common\age of empires ii hd\age of empires ii hd\aok hd.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\age of empires ii hd\age of empires ii hd\aok hd.exe => Ningún archivo
FirewallRules: [UDP Query User{794D8FCF-FAA0-4D17-9362-CC88278F10AF}C:\program files (x86)\steam\steamapps\common\age of empires ii hd\age of empires ii hd\aok hd.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\age of empires ii hd\age of empires ii hd\aok hd.exe => Ningún archivo
FirewallRules: [TCP Query User{F235975B-8466-4658-B2F2-3CB89845936A}C:\program files (x86)\steam\steamapps\common\age of empires ii hd\aok hd.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\age of empires ii hd\aok hd.exe => Ningún archivo
FirewallRules: [UDP Query User{F990E270-7713-4896-A0ED-29D8D693A5E8}C:\program files (x86)\steam\steamapps\common\age of empires ii hd\aok hd.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\age of empires ii hd\aok hd.exe => Ningún archivo
FirewallRules: [TCP Query User{A3F5CFCB-ABC7-4478-AC44-91A6D18F3789}C:\games\age of empires ii definitive edition\aoe2de_s.exe] => (Allow) C:\games\age of empires ii definitive edition\aoe2de_s.exe => Ningún archivo
FirewallRules: [UDP Query User{A08F4511-AFB7-4E14-B1C7-0469FF5FDCE8}C:\games\age of empires ii definitive edition\aoe2de_s.exe] => (Allow) C:\games\age of empires ii definitive edition\aoe2de_s.exe => Ningún archivo
FirewallRules: [TCP Query User{CC79D3F1-A4A1-4039-82DE-CECE1C48CF09}C:\games\age of empires ii definitive edition\battleserver\battleserver.exe] => (Allow) C:\games\age of empires ii definitive edition\battleserver\battleserver.exe => Ningún archivo
FirewallRules: [UDP Query User{706BD5CE-1552-44B9-8D5E-3A9535B42756}C:\games\age of empires ii definitive edition\battleserver\battleserver.exe] => (Allow) C:\games\age of empires ii definitive edition\battleserver\battleserver.exe => Ningún archivo
FirewallRules: [TCP Query User{D3856594-05BB-4D69-945C-F708E616D755}C:\program files (x86)\steam\steamapps\common\empires apart\impero\binaries\win64\impero-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\empires apart\impero\binaries\win64\impero-win64-shipping.exe => Ningún archivo
FirewallRules: [UDP Query User{D2CEFFCE-77A1-4458-BD9A-934DB649AE28}C:\program files (x86)\steam\steamapps\common\empires apart\impero\binaries\win64\impero-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\empires apart\impero\binaries\win64\impero-win64-shipping.exe => Ningún archivo
FirewallRules: [{2AAA5874-D003-4221-94CB-8C794D51350D}] => (Block) C:\program files (x86)\steam\steamapps\common\empires apart\impero\binaries\win64\impero-win64-shipping.exe => Ningún archivo
FirewallRules: [{14F72B70-CBCB-4B89-88EE-A0E68B84202B}] => (Block) C:\program files (x86)\steam\steamapps\common\empires apart\impero\binaries\win64\impero-win64-shipping.exe => Ningún archivo
FirewallRules: [TCP Query User{88A1D591-9298-4224-BD02-9DFA0DDBFA35}C:\program files (x86)\steam\steamapps\common\age of mythology extended edition\aomx.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\age of mythology extended edition\aomx.exe => Ningún archivo
FirewallRules: [UDP Query User{4CD17D8E-FFAA-4C5E-8BD5-C76A3AEF4508}C:\program files (x86)\steam\steamapps\common\age of mythology extended edition\aomx.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\age of mythology extended edition\aomx.exe => Ningún archivo
FirewallRules: [{58D77383-2CBE-4490-A8C5-3B017E956845}] => (Block) C:\program files (x86)\steam\steamapps\common\age of mythology extended edition\aomx.exe => Ningún archivo
FirewallRules: [{F6396D42-7A30-4E23-9879-282B4E87F91E}] => (Block) C:\program files (x86)\steam\steamapps\common\age of mythology extended edition\aomx.exe => Ningún archivo
C:\ProgramData\Intel\Wireless


HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.


Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
  • Presionar el botón FIX/Corregir y aguardar a que termine.
  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo