Windows 10 ≡ AutoIt V3 Script - Amenaza o paranoia.

Hola a todos.

Hace unos días mi ordenador empezó a soplar como un avión a punto de despegar y a costarle más hacer cualquier cosa. Al principio no le di importancia (es un portatil Toshiba de 5 años con W10), pero tras ocurrir esto mismo en cada sesión decidí echar un ojo. Tras pasarle Malwarebytes dejo de hiperventilar, pero seguía yendo bastante lento.

Desde administrador de tareas>inicio encontre algo que no me sonaba.

El nombre de mis preocupaciones era AutoIt V3 Script, cosa que me aparecía por duplicado.

https://ibb.co/f8mtnf

Tras una busqueda rápida en google resolví que era una amenaza, pero la verdad es que no encontré nada definitorio, así que me conformé con deshabilitarlo desde administrador de tareas>inicio.

Aún así la cosa no mejoró, por lo que seguí indagando.

Desde administrador de tareas>inicio hice click derecho sobre AutoIt V3 Script y le di a abrir ubicación del archivo, me informó de que no tenía acceso a esa carpeta, que diera permisos de administrador. Aún así no me dejó, pero con algo de picardía descubrí el nombre de la carpeta eebe72eb.

El caso es que por recomendación de unos colegas le pase otros dos antivirus/malware, en concreto anti-rootkit y adwcleaner, de la familia de Malwarebytes. Ambos encontraron amenazas, y tras el reinicio del último comprobé administrador de tareas>inicio.

Uno de los dos AutoIt V3 Script había desaparecido.

https://ibb.co/eLCinf

No obstante algo raro había aparecido, en el inicio, algo llamado eebe72eb, el mismo nombre de la carpeta a la que no podía acceder. Además, en la copia C: me aparecen dos carpetas extrañas que no me atrevo a borrar por miedo a reventar el ordenador:

https://ibb.co/iaKFYL

Me gustaría saber qué puedo hacer para librarme de esta pesadez de AutoIt V3 Script de una vez por todas y recuperar el rendimiento de mi ordenador sin tener que restaurarlo de 0, ya que no tengo ningun punto de restauración previo hecho.

Un saludo y gracias por adelantado a los que os molesteis en leer este tochal con mis preocupaciones, y más a los que os animeis a contestarme.

 

Información de la pregunta


Última actualización 29 de marzo de 2020 Vistas: 12.845 Aplicable a:
Respuesta
Respuesta

Hola, Gonzalo:

El problema de las infecciones AutoIt V3 Script desarrolladas con el lenguaje de scripting AutoIt, es que crean entradas en el registro del sistema que los programas anti-malwares automáticos no son capaces de detectar. Estas entradas del registro son los que ofrecen en la mayoría de los casos la información de la ubicación donde se encuentran los archivos (procesos) y carpetas que el malware ha creado, además de hacer que los procesos se inicien junto con el sistema. Por lo que entiendo, usted ya detectó algunos de estas carpetas y archivos relacionados con uno de los procesos AutoIt V3 Script, así que vamos a ver qué pasa con el segundo caso.

En otros casos AutoIt V3 Script que hemos tenidos en esta comunidad, la solución que se ha ofrecido ha surgido revisando logs de resultados de anti-malwares manuales.

Vamos a ir paso por paso. Por favor, siga mis primeras instrucciones:

1) Descargue y ejecute el programa HiJackThis y haga clic primeramente en el botón: "I accept". Una vez en el menú principal de la herramienta, haga clic en "Do a system scan and save a log file". Se abrirá un documento de texto (log de resultados), que necesito que copie por aquí en su próxima respuesta para revisarlo. No haga nada más en el programa, ciérrelo.

Con este primer proceso lo que quiero primero es revisar con un log muy básico, cualquier entrada que me parezca sospechosa. Aunque cuando usted me deje el log de resultados en su próxima respuesta, intentaremos eliminar cualquier entrada sospechas primeramente con este programa, lo habitual es que en estos determinados casos no lo consigamos. Por ello necesitaremos utilizar un segundo anti-malware manual mucho más potente, pero ya tendremos ciertas pistas sobre qué entradas seguir gracias a HiJackThis.

2) El siguiente programa que deberemos utilizar es Farbar Recovery Scan Tool

Farbar Recovery Scan Tool tiene dos versiones (32 bits o 64 bits). Descargue la versión correspondiente a la arquitectura del sistema que esté utilizando. Solamente quiero que lo descargue y que lo mantenga en su equipo para mi próxima respuesta. No lo abra ni haga nada con él.

Cuando me responda con el log de resultados de HiJackThis, continuaré con las siguientes instrucciones. Prefiero que vayamos paso a paso y no liarle ofreciéndole todas las instrucciones en una sola respuesta.

Un saludo.

No trabajo en Microsoft, ni tengo ningún tipo de vinculación con esta empresa.

Con esta respuesta se ayudaron a 5 personas

·

¿Se solucionó el problema?

Sentimos que no te haya sido de ayuda.

¡Excelente! Muchas gracias por marcar esto como respuesta.

¿Qué grado de satisfacción tiene con esta respuesta?

Gracias por sus comentarios, nos ayudan a mejorar el sitio.

¿Qué grado de satisfacción tiene con esta respuesta?

Gracias por sus comentarios

Respuesta
Respuesta

Perfecto, Gonzalo. Muchas gracias por su aclaración sobre esa carpeta y ese archivo sospechoso.

Estuve recordando un caso sobre una infección AutoIt igual a la de su caso. Esa amenaza creaba una carpeta con el nombre que el usuario le dió al equipo, pero la carpeta estaba oculta (no se si será su caso). Dentro de esa carpeta oculta con el nombre del equipo del usuario, el malware ocultaba el archivo ejecutable que provocaba el problema.

Siga los pasos que le indiqué en mi anterior respuesta. Si quiere en realidad el paso de HiJackThis se lo puede saltar. Podemos dejarlo para más tarde si fuese necesario. El paso que debe de hacer para que tengamos un informe más completo es el de FARBAR RECOVERY SCAN TOOL, porque con los dos informes que nos proporcione dicha herramienta es donde vamos a obtener los datos que necesitamos.

Saludos.

No trabajo en Microsoft, ni tengo ningún tipo de vinculación con esta empresa.

Con esta respuesta se ayudaron a 4 personas

·

¿Se solucionó el problema?

Sentimos que no te haya sido de ayuda.

¡Excelente! Muchas gracias por marcar esto como respuesta.

¿Qué grado de satisfacción tiene con esta respuesta?

Gracias por sus comentarios, nos ayudan a mejorar el sitio.

¿Qué grado de satisfacción tiene con esta respuesta?

Gracias por sus comentarios