Proceso notepad.exe oedge-star-mini... consumiendo recursos STRIKES BACK

Pues que mas decir, He encendido el pc y básicamente un proceso bajo el nombre de “bloc de notas” pero sin su logo, y con un comando muy largo está robandome gran parte de los recursos. He visto que no soy el primero con uno parecido, y en este foro parece que se ha tratado el tema mas veces. (tengo conocimientos de informática pero no de seguridad) He intentado seguir algún hilo pero me he fijado que algunas partes de la línea de comandos de mi versión son diferentes de la de el resto, y además no me he enterado perfectamente y no me he visto con la capacidad de hacerlo por mi cuenta, así que a riesgo de hacer que la comunidad se repita por enésima vez, ¿me echáis una mano? También tengo mucha curiosidad por saber qué tipo de malware es y si se sabe su función o a donde van a parar los datos que obliga a mi ordenador a procesar.

Os dejo un par de capturas que compartí con mis amigos por discord:

1603×291 26.3 KB

1487×70 3.53 KB

Hola @Banana, Bienvenido al Foro!!!

Realiza los siguientes pasos, aunque hayas hecho alguno, sin cambiar el orden:

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware, revisa en detalle el manual, para que sepas usarlo y configurarlo.

• Realiza un Análisis personalizado, actualizando si te lo pide.
• Pulsar en “Cuarentena seleccionado” para enviarlo a la cuarentena y Reinicias el sistema.
• En el apartado del manual Historial de detecciones encontrarás el reporte de MBAM, clic en Exportar >> Copiar al portapapeles.

2) Descarga AdwCleaner | InfoSpyware en el escritorio.

• Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus.
• Cierra también todos los programas que tengas abiertos.
• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador".)
• Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
• Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
• El informe también se puede encontrar en C:\AdwCleaner\AdwCleaner[C1].txt

3) Descarga CCleaner

• Instala Ccleaner
• Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine >> clic en ejecutar limpiador
• Clic en la pestaña Registro >> clic en buscar problemas esperas que termine >> clic en Reparar Seleccionadas y haces una copia de seguridad
• Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.

Pega los reportes de Malwarebytes y AdwCleaner y comentas como va el problema.

¿Cómo pegar reportes en el foro?

Un saludo

Aaah pero esto es mucho mas sencillo de lo que yo había leído! Si hasta he usado mas de una vez AdwCleaner y Malwarebytes. De momento comentar que a pesar de que el antivirus de windows ha mejorado mucho desde su concepción, no ha detectado nada aquí. Vamos a probar con los programas de malwarebytes.

Hola

Vamos a ir pasos a paso, despacito y con buena letra … luego ya utilizaremos otros programas más potentes, de momento vamos a eliminar todo lo que podamos con estas herramientas.

Si ya has utilizado con anterioridad Malwarebytes y AdwCleaner, trae los reportes para revisarlos.

Un saludo

Hola de nuevo. Vengo a dar una actualización de lo que va sucediendo, porque no es normal y no me había pasado nunca. Malwarebytes lleva analizando 17 horas. No, mi ordenador no es precisamente lento, ni tengo 10 teras de inormación. Os cuento:

Tras unas 3 horas de análisis, malwarebytes había realizado todos los análisis (rootkits, memoria, inicio, y registro) y llevaba unos 400 000 “elementos analizados” del sistema de archivos, pero mas o menos tras ese lapso la frecuencia del disco duro cayó drásticamente, y con ella la velocidad a la que analizaba elementos. Ya en este momento me olía mal, pero pensé que no le debería quedar mucho (HA!).

Como a las 2 de la mañana me di cuenta de que si la pantalla se apagaba para ahorrar energía, el análisis no avanzaba (así que podemos restar 2 horas de las 17 en las que no hizo nada). Ahora sí desactivé el apagado de pantalla y la suspensión del equipo, y para asegurarme activé un script que tenía por ahí para hacer clic automáticamente una vez cada minuto y me fui a dormir, que duermo donde trabajo y lo puedo vigilar mas o menos.

Con un poco de mi insomnio no es dificil levantarse de vez en cuando y ver como va. Como puedes ver no muy bien, así que a las 11 mas o menos pausé el análisis y suspendí el ordenador y lo he vuelto a encender a las 12 en punto mas o menos.

En resumen: al momento de escribir esto Malwarebytes lleva 790k elementos analizados en 17 horas. Mi disco “solo” tiene 588GB escritos.

¿Alguna idea de por qué?

Llevo tanto tiempo invertido en analizar el equipo que ya no se si dejar que siga o pararlo por completo, hacer primero el análisis de AdwCleaner que ese si es rápido, y repetir éste.

Hola

Cancela el análisis con Malwarebytes, vuelve a realizarlo personalizado pero no marques la opción Rootkits, si ves que después de un par de horas no ha terminado lo cancelas y haces análisis de amenazas que apenas tardará.

Un saludo

Vale, perfecto: Siento el desorden porque el primer análisis no saliera a la primera, y luego al hacer el segundo se me olvidó seleccionar la unidad de disco (pero aun así detectó amenazas) y a la tercera ya salió todo bien. Así te lo separo en los tres logs. Malwarebytes 1:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 14/6/20
Hora del análisis: 18:30
Archivo de registro: 5cf53752-ae5c-11ea-8f3e-0a0027000010.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.931
Versión del paquete de actualización: 1.0.25472
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18362.900)
CPU: x64
Sistema de archivos: NTFS
Usuario: David\David Gonz\u00c3\u00a1lez

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Cancelado
Objetos analizados: 792385
Amenazas detectadas: 8
Amenazas en cuarentena: 6
Tiempo transcurrido: 18 hr, 17 min, 52 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 2
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTOFFERTHROUGHWUAU, En cuarentena, 6916, 676880, 1.0.25472, , ame, 
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTOFFERTHROUGHWUAU, En cuarentena, 6916, 676880, 1.0.25472, , ame, 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
Trojan.Agent.AutoIt.Generic, C:\ProgramData\Intel\Wireless\c51cf79\d4cc451, En cuarentena, 5573, 781623, , , , 
Trojan.Agent.AutoIt.Generic, C:\PROGRAMDATA\INTEL\WIRELESS\C51CF79, Error durante la eliminación, 5573, 781623, 1.0.25472, , ame, 

Archivo: 4
Trojan.Agent.AutoIt.Generic, C:\PROGRAMDATA\INTEL\WIRELESS\C51CF79\AIDEACA.EXE, Se eliminará al reiniciar, 5573, 781623, 1.0.25472, , ame, 
Trojan.Agent.AutoIt.Generic, C:\ProgramData\Intel\Wireless\c51cf79\d4cc451\8506820, En cuarentena, 5573, 781623, , , , 
PUP.Optional.GameHack, C:\PROGRAM FILES (X86)\CHEAT ENGINE 6.7\STANDALONEPHASE1.DAT, Sin acciones por parte del usuario, 7920, 393793, 1.0.25472, , ame, 
Adware.FusionCore, C:\USERS\DAVID GONZáLEZ\GOOGLE DRIVE\A.S.I.R_\(LM) LENGUAJE DE MARCAS\LENGUAJE DE MARCAS (LM)\FILEZILLA_3.37.4_WIN64-SETUP_BUNDLED.EXE, En cuarentena, 7424, 580753, 1.0.25472, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Malwarebytes 2:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 15/6/20
Hora del análisis: 13:18
Archivo de registro: f1413198-aef9-11ea-a1cd-0a0027000010.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.931
Versión del paquete de actualización: 1.0.25516
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18362.900)
CPU: x64
Sistema de archivos: NTFS
Usuario: David\David Gonz\u00c3\u00a1lez

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 146475
Amenazas detectadas: 2
Amenazas en cuarentena: 2
Tiempo transcurrido: 2 min, 0 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Desactivado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 1
Trojan.Agent.AutoIt.Generic, HKU\S-1-5-21-1932372723-2942956827-195098441-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|0E3CEC23, En cuarentena, 5573, 783345, 1.0.25516, , ame, 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
Trojan.Agent.AutoIt.Generic, C:\PROGRAMDATA\INTEL\WIRELESS\C51CF79\FBC195F.AU3, En cuarentena, 5573, 783345, , , , 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Malwarebytes 3:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 15/6/20
Hora del análisis: 13:34
Archivo de registro: 258b6ac0-aefc-11ea-a7a5-0a0027000010.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.931
Versión del paquete de actualización: 1.0.25518
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18362.900)
CPU: x64
Sistema de archivos: NTFS
Usuario: David\David Gonz\u00c3\u00a1lez

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 888420
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 2 hr, 15 min, 39 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

AdwCleaner:

# -------------------------------
# Malwarebytes AdwCleaner 8.0.5.0
# -------------------------------
# Build:    05-25-2020
# Database: 2020-06-15.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    06-15-2020
# Duration: 00:00:50
# OS:       Windows 10 Home
# Cleaned:  14
# Failed:   3


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\Program Files (x86)\DELL\SUPPORTASSISTAGENT
Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALIENWARE\SUPPORTASSIST
Deleted       Preinstalled.DellSupportAssistAgent   Folder   C:\ProgramData\SUPPORTASSIST\CLIENT\TECHNICIANTOOLKIT
Deleted       Preinstalled.DellSupportAssistAgent   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2E7BBE23-09BB-4E45-9F34-46E9BA804063}

Hola

Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus

Descarga Farbar Recovery Scan Tool en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de tu equipo. Como saber si Mi Windows es de 32 o 64 Bits ?.

• Ejecuta FRST.exe.
• En el mensaje de la ventana del Disclaimer, pulsamos Yes
• En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
• Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Pon los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Un saludo