Posible amenaza relacionada con AutoIt v3 Script

Hola, en primer lugar, gracias por la labor que hacéis en este gran foro, no es la primera vez que os consulto y/o utilizo las herramientas que aconsejáis; os leo mucho antes de la remodelación del foro. Bien os cuento: Acabo de descubrir una carpeta en C: con el mismo nombre que el equipo y que contiene 4 archivos que por sus nombres me han resultado sospechosos; bill (es un acceso directo) pe.bin shell.txt vadpfahulq.exe vkjbjxoch.exe Al ver las propiedades de los exe con botón derecho en la descripción pone AutoIt v3 Script. Segun he leido en el forospyware, se trata de un malware que según los afectados en el foro lo localizan en la pestaña inicio del administrador de tareas, cosa que a mi no me sucede ni tampoco el sobrecalentamiento del procesador que indican algunos afectados. Mi sospecha es que en su momento ya hubiera eliminado el virus y haya quedado este resto que no vi, lo digo porque al ver propiedades del archivo bill, el cual es un acceso directo que marca una ubicación, esta ya no esta disponible. ¿Que opináis vosotros? ¿borro la carpeta sin más? ¿como procedo? Pues eso es todo, quedo a la espera de vuestros consejos, un saludo y gracias.

Hola, y bienvenido, sigue los siguientes pasos y lee las letras en rojo.

:one: Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus, mientras estemos realizando TODOS los pasos.

Vamos a descargar en TU ESCRITORIO (y NO en otro lugar) todas las herramientas que vamos a utilizar en este procedimiento (pero no las ejecutes todavía) :

:warning: Una vez descargadas, desconectas tu equipo de Internet(apaga el router) :arrow_backward: Muy Importante ,… y Cierras también cualquier otro programa que tengas abierto.

:two: Ejecutas las herramientas de una en una y en el orden indicado :

Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionasEjecutar como Administradorpara TODOS los programas.

CCleaner.-

  • Instalas y Ejecutas CCleaner siguiendo los pasos indicados en el manual.
  • Úsalo primero en su opción de Limpiador para borrar cookies, temporales de Internet y todos los archivos que te muestre como obsoletos.
  • Después usa su opción de Registro para limpiar todo el registro de Windows(haciendo copia de seguridad).

Malwarebytes.-

  • Instalas y Ejecutas MBAM como Administrador
  • Ve a la sección “Analizar” >> click en “Análisis Personalizado” >> click en el botón “Configurar análisis” >> Marcas todas las casilla de la Izquierda (incluyendo la de rootkits), y todas las unidades de la Derecha >> click en “Analizar ahora” para empezar el análisis.
  • Seleccionando “TODOS a Cuarentena” para enviarlo a la cuarentena y Reinicias el sistema.
  • Click en la sección “Informes” >> marca la casilla del informe “Informe de análisis” fijándote que concuerde Fecha y Hora del día del análisis >> click en el botón “Ver Informe” >> “Exportar” >> click “Copiar al portapapeles” >> Pega en tu siguiente Respuesta el contenido del bloc de notas como se muestra en la imagen de abajo, haciendo CTRL+V.

AdwCleaner.-

  • Ejecuta Adwcleaner.exe.
  • Pulsamos en el botón Analizar ahora , y espera a que se realice el proceso, inmediatamente pulsa siempre sobre el botón Iniciar Reparación .
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • El log/informe lo encontramos en la pestaña “Informes”, volviendo a abrir el programa si fuese necesario, para poder copiarlo y pegarlo en tu próxima respuesta.
  • El informe también se puede encontrar en C:\AdwCleaner\Logs\AdwCleaner[C00].txt

:three: Poner los informes en tu próxima respuesta de :

  • Malwarebytes, AdwCleaner en ese orden.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

:warning: Muy Importante :warning: envuelve cada uno de los informes con una etiqueta escrita CODE_Inicial al inicio del informe y otra como este CODE_Final al final del mismo, aquí tienes un ejemplo de como hacerlo :

Gracias Facundo, tengo una duda; todas las herramientas que me indicas las tenia ya instaladas, ¿debo desinstalarlas y volver a proceder exactamente tal y como me indicas, es decir descargarlas al escritorio e instalar desde allí o puedo usar las que ya tengo instaladas? Solo me quedaría descargar Adwcleaner, imagino que la última versión que usé estará obsoleta. Un saludo.

Hola, con permiso

@jsamaruc intervengo para que puedas ir haciendo los pasos, no hace falta que descargues las herramientas que ya tienes, solo las actualizas si te lo pide y las mueves al escritorio si las tienes en otro sitio.

Podéis continuar vosotros :+1:

Un saludo

1 me gusta

Hola @Daniela y @jsamaruc

Espero los reportes de las herramientas, y tu respectivo comentario del funcionamiento del equipo.

Saludos.

Hola Daniela y Facundo, disculpad el retraso en mi respuesta. Os pego los informes de MBAM y Adwcleaner:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 8/10/19
Hora del análisis: 23:31
Archivo de registro: f695e424-ea12-11e9-b55d-d8cb8a9a989f.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.12815
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 18362.388)
CPU: x64
Sistema de archivos: NTFS
Usuario: KATLINE\Jos\u00c3\u00a9 Mi Nombre

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 667429
Amenazas detectadas: 1
Amenazas en cuarentena: 1
Tiempo transcurrido: 2 hr, 58 min, 35 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
HackTool.Agent, C:\$RECYCLE.BIN\S-1-5-21-3454636966-1604712734-300355555-1001\$R8FJU6Q\DAPV611-TPC.EXE, En cuarentena, [3925], [1570],1.0.12815

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
# -------------------------------
# Malwarebytes AdwCleaner 7.4.1.0
# -------------------------------
# Build:    09-05-2019
# Database: 2019-10-03.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    10-08-2019
# Duration: 00:00:13
# OS:       Windows 10 Pro
# Scanned:  35164
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.


AdwCleaner[S00].txt - [1702 octets] - [16/10/2018 10:33:06]
AdwCleaner[C00].txt - [1810 octets] - [16/10/2018 10:34:05]
AdwCleaner[S01].txt - [1930 octets] - [11/03/2019 15:06:14]
AdwCleaner[C01].txt - [2002 octets] - [11/03/2019 15:17:52]
AdwCleaner[S02].txt - [1493 octets] - [26/04/2019 13:36:36]
AdwCleaner[S03].txt - [1554 octets] - [26/04/2019 13:38:19]
AdwCleaner[C03].txt - [1740 octets] - [26/04/2019 13:38:35]
AdwCleaner_Debug.log - [4613 octets] - [08/10/2019 23:25:41]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S04].txt ##########

Espero haber pegado bien los informes. Pendiente de vuestra respuesta, un saludo y muchas gracias.

Como sigue el equipo?

Saludos.

Hola de nuevo Facundo, el equipo funciona bien, de hecho funcionaba bien cuando os hice la consulta, pero me pareció raro ver la carpeta con el nombre de mi equipo en C: con los archivos que os comenté. Como no estaba seguro si podían ser un resto de una desinfección anterior, os pedí consejo. He estado leyendo que este malware, AutoIt v3 Script satura y sobrecarga el procesador con el consiguiente sobrecalentamiento del mismo, al tiempo que hace un uso excesivo de la RAM, tuve ese problema de uso abusivo de la RAM pero ahora no lo tenia, no obstante he querido asegurarme con vuestra ayuda, que todo está correcto. Imagino que podré borrar con total seguridad la carpeta que os comento sin ocasionar ningún desastre…Me gustaría subir una captura para que veáis de que carpeta se trata y su contenido pero no se como,hacerlo. Gracias de nuevo.

Hola @jsamaruc

Vamos a revisar más a fondo tu equipo.

Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus

Descarga Farbar Recovery Scan Tool. seleccionando la versión adecuada para la arquitectura(32 o 64bits) de tu equipo. [color=#FF8C00][size=1]:arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?[/size][/color]

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Pon los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Un saludo

Daniela así lo haré, en cuanto acabe la carta de un restaurante que estoy maquetando, no quiero arriesgarme a no poder terminar el trabajo. Os digo algo en unos días. De nuevo, muchas gracias.

Hola

No hay problema, cuando puedas lo realizas :+1:

Un saludo