Virus autoit

Que pasos hiciste?

Si tienes algun infome,ponlo también

Desactiva Temporalmente tu antivirus y cualquier programa de seguridad.

  • Descarga a Tu Escritorio >> Esto es muy importante<<.,Fabar Recovery Scan Tool, considerando la versión adecuada para tu equipo. (32 o 64 bits) :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits?

  • Doble clic para ejecutar Frst.exe. En la ventana del Disclaimer, presiona Yes.

  • En la nueva ventana que se abre, presiona el botón Scan y espera a que concluya el análisis.

  • Se abrirán dos (2) archivos (Logs), Frst.txt y Addition.txt, que estarán grabados en Tu escritorio.

En Tu próxima respuesta, copias y pegas los dos reportes Frst.txt y Addition.txt de FRST

Nota: Si el/los reportes solicitados no entraran en una sola respuesta porque superan la cantidad de caracteres permitidos, puedes utilizar dos o mas respuestas para pegarlos completamente.

Hola, Miguel

Gracias por atenderme Bueno, restauré a un punto anterior. Me desapareció el ejecutable (en Appdata\Intel\Wireles + carpeta y nombre de ejecutable aleatorio) He pasado un par de antivirus y no han encontrado nada (salvo un porrón de cookies) Voy a pasar el programa. Lo ejecuto como administrador, ¿no?

Addition.txt (109,0 KB) FRST.txt (88,5 KB)

No sé si te servirá, me ha permitido enviarlos como ficheros…

Correcto,…,…

Bien… y ahora sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

  • Para hacerlo descarga Delfix en tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


En el equipo con los demas programas cerrados:

Inicio >>> Ejecutar >>>Escribes notepad.exe.

Ahora copia y pega estos archivos dentro del Notepad:


Start
CreateRestorePoint:
CloseProcesses:

HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restricción ? <==== ATENCIÓN
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
FF Plugin: @videolan.org/vlc,version=2.2.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
S3 EzTouchFilter; \SystemRoot\System32\drivers\EzTouchFilter.sys [X]
2019-12-25 21:14 - 2019-12-25 21:14 - 000000000 ____D C:\ProgramData\Intel


HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.

  • Y ahora usa esta Faq de Windows ¿Cómo iniciar Windows en Modo Seguro (Aplicable a Windows 10)?, para trabajar desde ese modo de windows. (Usa el Metodo 1 y si no puedes, usa el Metodo 2)

  • Ejecutas Frst.exe.

  • Presionas el botón Corregir y aguardas a que termine.

  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).

Lo pegas en tu próxima respuesta, comentado como va el problema

Ademas:(actualiza la version de Ccleaner)

  • Descarga e instala Ccleaner , si no lo tienes instalado /actualizado,

  • Durante la instalación cuando aparezcan opciones solo deja marcadas la de mostrar icono en el escritorio y uso inteligente de cookies.

  • Abres Ccleaner (En el menú Opciones/Avanzadas: Desmarca la casilla Solo borrar de las carpetas Temp de Windows los archivos de mas de 24 hrs.).

:1:Abres en Pestaña Limpiador: ( las que esten marcadas por defecto, dejalas)

En apartado >> Windows ; seleccionas:

  • Archivos temporales de Internet Explorer
  • Archivos temporales del sistema
  • Cache Dns
  • Datos antiguos de prefetch

En apartado >> Programas >> seleccionas:

  • Caches de otros navegadores que uses
  • Java

1::Ejecutas la limpieza

:2:En la pestaña registro >>; Buscar Problemas >> Reparar seleccionadas

::Ejecutamos la limpieza (guardamos copia del registro cuando nos lo pida en la misma carpeta de Ccleaner ubicada en C-Archivos de programa-Ccleaner).

Pásalo varias veces que no queden errores

Descargas e instalas >> ; Glary Utilities

Abres en Mantenimiento un click >>; buscar problemas >> ;Reparar

Y en Herramientas avanzadas >> Reparador de registro >> Ejecutas la reparación

Comentas el resultado

1 me gusta

Aquí tienes…

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 26-12-2019
Ejecutado por Marzo (26-12-2019 19:32:45) Run:1
Ejecutado desde C:\Users\Marzo\Desktop
Perfiles cargados: Marzo (Perfiles disponibles: Marzo & Fabel & Manadoret & Administrador)
Modo de Inicio: Safe Mode (minimal)
==============================================

fixlist contenido:
*****************
Start
CreateRestorePoint:
CloseProcesses:

HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restricción ? <==== ATENCIÓN
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
FF Plugin: @videolan.org/vlc,version=2.2.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
S3 EzTouchFilter; \SystemRoot\System32\drivers\EzTouchFilter.sys [X]
2019-12-25 21:14 - 2019-12-25 21:14 - 000000000 ____D C:\ProgramData\Intel


HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END
*****************

Error: El punto de restauración solamente puede ser creado en modo normal.
Procesos cerrados correctamente.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run => Acceso Denegado

"C:\WINDOWS\system32\GroupPolicy\Machine" carpeta mover:

No pudo ser movido "C:\WINDOWS\system32\GroupPolicy\Machine" => Programado para moverse al reiniciar.

No pudo ser movido "C:\WINDOWS\system32\GroupPolicy\GPT.ini" => Programado para moverse al reiniciar.
HKLM\SOFTWARE\Policies\Mozilla => no pudo ser eliminado. Acceso Denegado.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.2.8 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
"HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN" => no encontrado
No pudo ser movido "C:\Program Files\VideoLAN\VLC\npvlc.dll" => Programado para moverse al reiniciar.
HKLM\System\CurrentControlSet\Services\EzTouchFilter => no pudo ser eliminado. Acceso Denegado.
C:\ProgramData\Intel => movido correctamente
No pudo ser movido "C:\Windows\System32\Drivers\etc\hosts" => Programado para moverse al reiniciar.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections => Acceso Denegado
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections => Acceso Denegado
"HKU\S-1-5-21-2321977804-20900085-14986786-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2321977804-20900085-14986786-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========


========= netsh winsock reset =========

La operaci¢n solicitada requiere elevaci¢n (Ejecutar como administrador).


========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows


========= Final de CMD: =========


========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to connect to BITS - 0x8007043c

========= Final de CMD: =========


========= netsh advfirewall reset =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows Defender. Aseg£rate de que el servicio se est  ejecutando e intenta la solicitud de nuevo.


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========


Error al intentar ponerse en contacto con el servicio Firewall de Windows Defender. Aseg£rate de que el servicio se est  ejecutando e intenta la solicitud de nuevo.


========= Final de CMD: =========


========= netsh int ipv4 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

No hay valores configurados por el usuario para restablecer.


========= Final de CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 42999443 B
Java, Flash, Steam htmlcache => 72184496 B
Windows/system/drivers => 0 B
Edge => 57754225 B
Chrome => 313398 B
Firefox => 48170223 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Marzo => 39423745 B
Fabel => 39423745 B
Manadoret => 39423745 B
Administrador => 39423745 B

RecycleBin => 13773787638 B
EmptyTemp: => 13.2 GB datos temporales Eliminados.

================================

Realizaste el mantenimiento con Ccleaner y Glary?

Como va todo?

  • Sí, Glary y Cclaner, este último como administrador y como el usuario afectado

  • A ver qué tal, de momento lo veo bien todo

Pruebalo bien y me dices para darte las ultimas indicaciones

Saludos

Ok, ¡muchas gracias! Aunque no sé muy bien qué probar, la verdad. Solo tenia la sensación de que no lo había arreglado del todo con borrar el ejecutable, y notaba alguna cosa rara, que ahora no percibo, al menos de momento

Por cierto, ¿se os da bien el ramsonware? Tuve un problema hace unos meses y no encontré manera de recuperar nada…

El rasonware, ni se nos da, ni se nos deja de dar…ja ja…simplemente si hay alguna herramienta que lo descifre, que no es en muchos casos, ayudamos a buscar

Tienes archivos encriptados por algun rasonware?

Sí… De hace unos meses

En un fichero llamado !! RETURN FILES !!.txt

all your files have been encrypted

want return files?

write on email: [email protected]

Y los ficheros con nombres cambiados, como

Bulk Rename Utility.ini.[[email protected]]-id-3260.payday

WP_20170204_16_13_37_Pro.jpg.[[email protected]]-id-3260.payday

Entra en el siguiente enlace y comprueba el resultado y nos lo comenta

Pega la URL del navegador con el resultado que te salga.

Hola, Miguel

(Perdona, pero el foro no me permite volver a escribirte, nosequé de usuario nuevo)

(A ver si ahora sí)

Nada, no ha habido suerte…

https://id-ransomware.malwarehunterteam.com/identify.php?case=cf2bb79efcbb31a95a3347637b6bc2de20bbc100

Saludos, y muchas gracias

Marzo

Pues lo visto…no hay mas

Saludos

Ya… :neutral_face:

¡Muchas gracias por todo!

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.