Virus autoit

Marzomoreno · 26 Diciembre, 2019 14:53

Hola He tenido un virus Autoit. Creo que lo he eliminado, pero aún noto alguna cosa rara. ¿Podría alguien echarme una mano, por favor? Saludos, y gracias de antemano Marzo

Miguelgrado · 26 Diciembre, 2019 15:05

Que pasos hiciste?

Si tienes algun infome,ponlo también

Desactiva Temporalmente tu antivirus y cualquier programa de seguridad.

Descarga a Tu Escritorio >> Esto es muy importante<<.,Fabar Recovery Scan Tool, considerando la versión adecuada para tu equipo. (32 o 64 bits) ¿Cómo saber si mi Windows es de 32 o 64 bits?
Doble clic para ejecutar Frst.exe. En la ventana del Disclaimer, presiona Yes.
En la nueva ventana que se abre, presiona el botón Scan y espera a que concluya el análisis.
Se abrirán dos (2) archivos (Logs), Frst.txt y Addition.txt, que estarán grabados en Tu escritorio.

En Tu próxima respuesta, copias y pegas los dos reportes Frst.txt y Addition.txt de FRST

Nota: Si el/los reportes solicitados no entraran en una sola respuesta porque superan la cantidad de caracteres permitidos, puedes utilizar dos o mas respuestas para pegarlos completamente.

Marzomoreno · 26 Diciembre, 2019 15:36

Hola, Miguel

Gracias por atenderme Bueno, restauré a un punto anterior. Me desapareció el ejecutable (en Appdata\Intel\Wireles + carpeta y nombre de ejecutable aleatorio) He pasado un par de antivirus y no han encontrado nada (salvo un porrón de cookies) Voy a pasar el programa. Lo ejecuto como administrador, ¿no?

Marzomoreno · 26 Diciembre, 2019 16:21

Addition.txt (109,0 KB) FRST.txt (88,5 KB)

Marzomoreno · 26 Diciembre, 2019 16:21

No sé si te servirá, me ha permitido enviarlos como ficheros…

Miguelgrado · 26 Diciembre, 2019 16:26

Correcto,…,…

Miguelgrado · 26 Diciembre, 2019 17:48

Bien… y ahora sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

Para hacerlo descarga Delfix en tu escritorio.
Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")
Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO
Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

En el equipo con los demas programas cerrados:

Inicio >>> Ejecutar >>>Escribes notepad.exe.

Ahora copia y pega estos archivos dentro del Notepad:


Start
CreateRestorePoint:
CloseProcesses:

HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restricción ? <==== ATENCIÓN
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
FF Plugin: @videolan.org/vlc,version=2.2.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
S3 EzTouchFilter; \SystemRoot\System32\drivers\EzTouchFilter.sys [X]
2019-12-25 21:14 - 2019-12-25 21:14 - 000000000 ____D C:\ProgramData\Intel


HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.

Y ahora usa esta Faq de Windows ¿Cómo iniciar Windows en Modo Seguro (Aplicable a Windows 10)?, para trabajar desde ese modo de windows. (Usa el Metodo 1 y si no puedes, usa el Metodo 2)
Ejecutas Frst.exe.
Presionas el botón Corregir y aguardas a que termine.
La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).

Lo pegas en tu próxima respuesta, comentado como va el problema

Ademas:(actualiza la version de Ccleaner)

Descarga e instala Ccleaner , si no lo tienes instalado /actualizado,
Durante la instalación cuando aparezcan opciones solo deja marcadas la de mostrar icono en el escritorio y uso inteligente de cookies.
Abres Ccleaner (En el menú Opciones/Avanzadas: Desmarca la casilla Solo borrar de las carpetas Temp de Windows los archivos de mas de 24 hrs.).

:1:Abres en Pestaña Limpiador: ( las que esten marcadas por defecto, dejalas)

En apartado >> Windows ; seleccionas:

Archivos temporales de Internet Explorer
Archivos temporales del sistema
Cache Dns
Datos antiguos de prefetch

En apartado >> Programas >> seleccionas:

Caches de otros navegadores que uses
Java

1::Ejecutas la limpieza

:2:En la pestaña registro >>; Buscar Problemas >> Reparar seleccionadas

::Ejecutamos la limpieza (guardamos copia del registro cuando nos lo pida en la misma carpeta de Ccleaner ubicada en C-Archivos de programa-Ccleaner).

Pásalo varias veces que no queden errores

Descargas e instalas >> ; Glary Utilities

Abres en Mantenimiento un click >>; buscar problemas >> ;Reparar

Y en Herramientas avanzadas >> Reparador de registro >> Ejecutas la reparación

Comentas el resultado

Marzomoreno · 26 Diciembre, 2019 18:57

Aquí tienes…

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 26-12-2019
Ejecutado por Marzo (26-12-2019 19:32:45) Run:1
Ejecutado desde C:\Users\Marzo\Desktop
Perfiles cargados: Marzo (Perfiles disponibles: Marzo & Fabel & Manadoret & Administrador)
Modo de Inicio: Safe Mode (minimal)
==============================================

fixlist contenido:
*****************
Start
CreateRestorePoint:
CloseProcesses:

HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restricción ? <==== ATENCIÓN
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
FF Plugin: @videolan.org/vlc,version=2.2.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
S3 EzTouchFilter; \SystemRoot\System32\drivers\EzTouchFilter.sys [X]
2019-12-25 21:14 - 2019-12-25 21:14 - 000000000 ____D C:\ProgramData\Intel


HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END
*****************

Error: El punto de restauración solamente puede ser creado en modo normal.
Procesos cerrados correctamente.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run => Acceso Denegado

"C:\WINDOWS\system32\GroupPolicy\Machine" carpeta mover:

No pudo ser movido "C:\WINDOWS\system32\GroupPolicy\Machine" => Programado para moverse al reiniciar.

No pudo ser movido "C:\WINDOWS\system32\GroupPolicy\GPT.ini" => Programado para moverse al reiniciar.
HKLM\SOFTWARE\Policies\Mozilla => no pudo ser eliminado. Acceso Denegado.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.2.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
HKLM\System\CurrentControlSet\Services\EzTouchFilter => no pudo ser eliminado. Acceso Denegado.
C:\ProgramData\Intel => movido correctamente
No pudo ser movido "C:\Windows\System32\Drivers\etc\hosts" => Programado para moverse al reiniciar.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections => Acceso Denegado
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections => Acceso Denegado
"HKU\S-1-5-21-2321977804-20900085-14986786-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2321977804-20900085-14986786-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========


========= netsh winsock reset =========

La operaci¢n solicitada requiere elevaci¢n (Ejecutar como administrador).


========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows


========= Final de CMD: =========


========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to connect to BITS - 0x8007043c

========= Final de CMD: =========


========= netsh advfirewall reset =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows Defender. Aseg£rate de que el servicio se est  ejecutando e intenta la solicitud de nuevo.


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows Defender. Aseg£rate de que el servicio se est  ejecutando e intenta la solicitud de nuevo.


========= Final de CMD: =========


========= netsh int ipv4 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 42999443 B
Java, Flash, Steam htmlcache => 72184496 B
Windows/system/drivers => 0 B
Edge => 57754225 B
Chrome => 313398 B
Firefox => 48170223 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Marzo => 39423745 B
Fabel => 39423745 B
Manadoret => 39423745 B
Administrador => 39423745 B

RecycleBin => 13773787638 B
EmptyTemp: => 13.2 GB datos temporales Eliminados.

================================

Miguelgrado · 26 Diciembre, 2019 19:00

Realizaste el mantenimiento con Ccleaner y Glary?

Como va todo?

Marzomoreno · 26 Diciembre, 2019 19:02

Sí, Glary y Cclaner, este último como administrador y como el usuario afectado
A ver qué tal, de momento lo veo bien todo

Miguelgrado · 26 Diciembre, 2019 19:04

Pruebalo bien y me dices para darte las ultimas indicaciones

Saludos

Marzomoreno · 26 Diciembre, 2019 19:06

Ok, ¡muchas gracias! Aunque no sé muy bien qué probar, la verdad. Solo tenia la sensación de que no lo había arreglado del todo con borrar el ejecutable, y notaba alguna cosa rara, que ahora no percibo, al menos de momento

Marzomoreno · 26 Diciembre, 2019 19:14

Por cierto, ¿se os da bien el ramsonware? Tuve un problema hace unos meses y no encontré manera de recuperar nada…

Miguelgrado · 26 Diciembre, 2019 19:42

El rasonware, ni se nos da, ni se nos deja de dar…ja ja…simplemente si hay alguna herramienta que lo descifre, que no es en muchos casos, ayudamos a buscar

Tienes archivos encriptados por algun rasonware?

Marzomoreno · 26 Diciembre, 2019 19:50

Sí… De hace unos meses

Marzomoreno · 26 Diciembre, 2019 19:53

En un fichero llamado !! RETURN FILES !!.txt

all your files have been encrypted

want return files?

write on email: [email protected]

Y los ficheros con nombres cambiados, como

Bulk Rename Utility.ini.[[email protected]]-id-3260.payday

WP_20170204_16_13_37_Pro.jpg.[[email protected]]-id-3260.payday

Miguelgrado · 26 Diciembre, 2019 20:22

Entra en el siguiente enlace y comprueba el resultado y nos lo comenta

Pega la URL del navegador con el resultado que te salga.

Marzomoreno · 27 Diciembre, 2019 15:08

Hola, Miguel

(Perdona, pero el foro no me permite volver a escribirte, nosequé de usuario nuevo)

(A ver si ahora sí)

Nada, no ha habido suerte…

https://id-ransomware.malwarehunterteam.com/identify.php?case=cf2bb79efcbb31a95a3347637b6bc2de20bbc100

Saludos, y muchas gracias

Marzo

Miguelgrado · 27 Diciembre, 2019 15:09

Pues lo visto…no hay mas

Saludos

Marzomoreno · 27 Diciembre, 2019 15:10

Ya…

¡Muchas gracias por todo!