Problema con Trojan.Agent.AutoIt

Eliminar Malwares
22

Hola

:arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe( en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

:warning: Con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1895503046-2164595843-4212185805-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1895503046-2164595843-4212185805-1000\...\Run: [66fe5029] => C:\ProgramData\66fe5029\66fe5029.exe [0 ] (AutoIt Team)
HKU\S-1-5-21-1895503046-2164595843-4212185805-1000\...\Run: [66fe50292] => C:\ProgramData\qdxvXBQt\66fe5029.exe [937776 2018-11-10] (AutoIt Team)
HKU\S-1-5-21-1895503046-2164595843-4212185805-1000\...\MountPoints2: {df6ea4af-2257-11e6-a8a1-50e549e848ee} - explorer.exe www.presto.es\index.html
HKU\S-1-5-21-1895503046-2164595843-4212185805-1000\...\MountPoints2: {fd742246-b3ae-11e5-98b0-50e549e848ee} - F:\STARTUP.EXE
HKU\S-1-5-21-1895503046-2164595843-4212185805-1000\...\MountPoints2: {fd74228d-b3ae-11e5-98b0-50e549e848ee} - K:\autorun.exe
Startup: C:\Users\Leire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b66fe5029d0f3009021030e6f2469239.lnk [2018-11-10]
ShortcutTarget: b66fe5029d0f3009021030e6f2469239.lnk -> C:\ProgramData\OkOAOn\66fe5029.exe (AutoIt Team)
ShortcutTarget: Last.fm Desktop Scrobbler.lnk -> C:\Users\Leire\AppData\Roaming\Microsoft\Installer\{EEF2F789-893F-47B8-A817-81066D427FD1}\_3C389C1899E83A28513401.exe ()
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: wacom.com/WacomTabletPlugin -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: wacom.com/WacomTabletPlugin -> C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll [No File]
CHR Extension: (Chrome Media Router) - C:\Users\Leire\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-10-19]
CHR Extension: (Chrome Media Router) - C:\Users\Leire\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-03-27]
CHR Extension: (Chrome Media Router) - C:\Users\Leire\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2018-11-07]
S3 WinDefend; %ProgramFiles%\Windows Defender\mpsvc.dll [X]
S3 WMPNetworkSvc; "%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe" [X]
S3 EtronHub3; System32\Drivers\EtronHub3.sys [X]
S3 EtronXHCI; System32\Drivers\EtronXHCI.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2018-11-10 18:30 - 2018-11-10 18:30 - 000000000 ____D C:\ProgramData\qdxvXBQt
2018-11-10 10:31 - 2018-11-10 14:11 - 000000000 ____D C:\ProgramData\uudKFsUz
2018-11-09 15:51 - 2018-11-09 15:51 - 000000000 ____D C:\ProgramData\OkOAOn
2018-11-09 13:29 - 2018-11-09 13:29 - 000000000 ____D C:\ProgramData\XlRDgk
2018-11-09 12:43 - 2018-11-09 12:43 - 000000000 ____D C:\ProgramData\zfwOYJ
2018-11-09 11:49 - 2018-11-09 11:49 - 000000000 ____D C:\ProgramData\HXwANso
2018-11-10 14:36 - 2018-02-27 21:17 - 000002982 _____ C:\Windows\System32\Tasks\{68656588-3BCC-4BA6-A460-6E0D9010729A}
2018-11-10 14:36 - 2018-02-27 20:08 - 000002982 _____ C:\Windows\System32\Tasks\{95304FB1-B750-4C95-959F-60AB60262AA8}
2018-11-10 14:36 - 2017-12-13 11:25 - 000003172 _____ C:\Windows\System32\Tasks\{D716DE4F-F474-48E6-AE81-EBFEA1520A72}
2018-11-10 14:36 - 2017-12-01 14:07 - 000002910 _____ C:\Windows\System32\Tasks\{F1BD5EC7-15AC-475A-9F31-7A5F74AC1419}
2018-11-10 14:36 - 2017-10-30 14:41 - 000002950 _____ C:\Windows\System32\Tasks\{0DAC133D-B375-453F-B2D8-7686ADB20A25}
2018-11-10 14:36 - 2017-10-30 14:15 - 000002950 _____ C:\Windows\System32\Tasks\{F3F67E1B-4064-45B3-A3A7-3C77FA577DEE}
2018-11-10 14:36 - 2017-10-30 14:14 - 000002950 _____ C:\Windows\System32\Tasks\{742AAC86-20A7-4B7E-BA09-5CDD4787F631}
2018-11-10 14:36 - 2017-01-29 10:49 - 000003152 _____ C:\Windows\System32\Tasks\{D9258C07-F885-49F0-87D8-22EDA70742E5}
2018-11-10 14:36 - 2017-01-29 10:48 - 000003220 _____ C:\Windows\System32\Tasks\{A409177E-88DA-440B-B4C2-4324B118DE7A}
2018-11-10 14:36 - 2016-01-05 15:59 - 000003068 _____ C:\Windows\System32\Tasks\{18E33739-9B6C-4834-B587-A4B0DC39D839}
2018-11-10 14:36 - 2016-01-05 15:59 - 000003068 _____ C:\Windows\System32\Tasks\{1374C2A1-C4EC-4E4D-BE95-4D1D88136866}
2018-11-10 14:36 - 2015-11-17 22:03 - 000003158 _____ C:\Windows\System32\Tasks\{B044483D-22F7-4BC2-97F8-E44F6A3D6455}
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => C:\Users\Leire\Desktop\Windows Sidebar\sbdrop.dll -> No File
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
  • Presionar el botón FIX y aguardar a que termine.
  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo