Malware que multiplica tareas Trojan.Agent.AutoIt.Generic

Hola @mherna4

Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde C:\Users\mhern\ Downloads

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.


Luego sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Desactiva Temporalmente tu antivirus.

3.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATENCIÓN
HKU\S-1-5-21-3787823761-1503905710-587562436-1001\...\Run: [50a3a293] => C:\ProgramData\Intel\Wireless\622b466\fdckaif.exe C:\ProgramData\Intel\Wireless\622b466\3874450.au3
Folder: C:\ProgramData\Intel
VirusTotal: C:\ProgramData\Intel\Wireless\622b466\fdckaif.exe
VirusTotal: C:\ProgramData\Intel\Wireless\622b466\3874450.au3
C:\ProgramData\Intel
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\79.0.3945.117\Installer\chrmstp.exe [2020-01-10] (Google LLC -> Google LLC)
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
Task: {03FEDB07-E342-468F-8226-9085C5EC21E5} - System32\Tasks\{8F39D06C-F036-432C-B4B9-2D8630855E3C} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.25.0.103/es/go/help.faq.installer?LastError=1603
Task: {0968913E-B2EF-428E-8325-91009B3D0FBA} - System32\Tasks\{D3B746EB-33DF-4990-B6C4-DF13A55559A8} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.28.64.101/es/go/help.faq.installer?LastError=1603
Task: {12966A28-4774-440C-86A0-98CE2ED6E5EC} - System32\Tasks\{18601FAE-CA7B-4B88-ABB1-40DE49345852} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.28.0.101/es/go/help.faq.installer?LastError=1603
Task: {3B863F17-BA47-4B32-B7AE-F7F018F71ECD} - System32\Tasks\{04C4FBDC-51C2-4ACC-94FF-A7495CC5A066} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.24.0.104/es/go/help.faq.installer?LastError=1603
Task: {80247B6C-71B5-4ACE-89B1-6E32FF95A1F7} - System32\Tasks\{CD09B649-960D-4545-9D40-26DBF7F02885} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.21.0.100/es/abandoninstall?source=lightinstaller&page=tsBing
HKU\S-1-5-21-3787823761-1503905710-587562436-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell15.msn.com/?pc=DCTE
SearchScopes: HKU\S-1-5-21-3787823761-1503905710-587562436-1001 -> DefaultScope {992EA659-F24F-429A-BA5C-D59570426462} URL = 
SearchScopes: HKU\S-1-5-21-3787823761-1503905710-587562436-1001 -> {992EA659-F24F-429A-BA5C-D59570426462} URL = 
BHO: Sin Nombre -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Ningún archivo
BHO-x32: Sin Nombre -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Ningún archivo
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  Ningún archivo
FF Plugin: @videolan.org/vlc,version=2.2.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Ningún archivo]
CHR Extension: (Avast Online Security) - C:\Users\mhern\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2019-12-20]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
2020-01-14 21:49 - 2020-01-14 21:49 - 000001166 _____ C:\Users\mhern\Downloads\eset.txt
2020-01-14 20:43 - 2020-01-14 20:43 - 000000771 _____ C:\Users\mhern\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2020-01-14 20:43 - 2020-01-14 20:43 - 000000672 _____ C:\Users\mhern\Desktop\ESET Online Scanner.lnk
2020-01-14 20:42 - 2020-01-14 20:42 - 008162616 _____ (ESET spol. s r.o.) C:\Users\mhern\Downloads\esetonlinescanner_esn.exe
2019-10-29 19:31 - 2019-10-29 19:31 - 000000028 _____ () C:\Users\mhern\AppData\Roaming\kulerdata.json
2016-04-04 00:30 - 2016-04-04 00:31 - 238722213 _____ () C:\Users\mhern\AppData\Local\ACCCx3_5_1_209.zip.aamdownload
2016-04-04 00:30 - 2016-04-04 00:31 - 000002741 _____ () C:\Users\mhern\AppData\Local\ACCCx3_5_1_209.zip.aamdownload.aamd
2018-10-10 12:13 - 2018-10-10 12:13 - 000000000 _____ () C:\Users\mhern\AppData\Local\oobelibMkey.log
2017-12-23 22:34 - 2019-12-18 13:53 - 000000600 _____ () C:\Users\mhern\AppData\Local\PUTTY.RND
ShellIconOverlayIdentifiers: [OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers: [OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Ningún archivo
ShellIconOverlayIdentifiers-x32: [OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Ningún archivo
ContextMenuHandlers1: [FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Ningún archivo
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Ningún archivo
ContextMenuHandlers4: [FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Ningún archivo
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Ningún archivo
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Ningún archivo
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Ningún archivo
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Ningún archivo
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Ningún archivo
FirewallRules: [UDP Query User{DF490283-E9D8-4BC6-B84F-436634A3CA23}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Ningún archivo
FirewallRules: [TCP Query User{4A2E31CE-9B76-41ED-AE48-85AA09FDD2F2}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Ningún archivo
FirewallRules: [UDP Query User{BC2022FD-67AD-4638-85D7-7ED426B71426}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Ningún archivo
FirewallRules: [TCP Query User{2EAC722A-5F11-4FE9-9CCE-5462A700BB61}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Ningún archivo
FirewallRules: [{A4C7C5DF-004F-4A7D-A349-99EDA4E37DE7}] => (Allow) C:\Ahora\_recursos\office2\Activadores\Microsoft.Toolkit.v2.6.BETA.1-CODYQX4\Microsoft Toolkit.exe Ningún archivo
FirewallRules: [{1D7945E5-58FE-46FF-B2F7-0729887139EA}] => (Allow) C:\Ahora\_recursos\office2\Activadores\Microsoft.Toolkit.v2.6.BETA.1-CODYQX4\Microsoft Toolkit.exe Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .

Salu2.