Eliminar virus autolt v3 script

Hola, AlfredoFF:

Si ya intentó eliminar la carpeta del malware manualmente o con algún anti-malware automático, el problema habrá empeorado, ya que como bien indica eso no sirve de nada para este malware AutoIT, que vuelve a autocrearse/autoreplicarse creando una nueva copia de sí mismo con otro nombre tanto en el directorio donde se ubican los archivos pertenecientes al malware como en la entrada del registro.

El problema de esto es que las herramientas de diagnóstico como Farbar, por normal general, reconocen la información del proceso principal del malware (o sea de la primera copia que crea el malware de sí mismo), pero si esa copia se elimina parcialmente (eliminando únicamente los archivos de las carpetas, y no la entrada del registro), el malware crea una segunda copia o varias copias de sí mismo, y ya la herramienta Farbar pierde el rastro de las copias creadas por el malware.

En este punto, es más que posible que tengamos que realizar comprobaciones manuales para ver dónde se encuentran todos los elementos de las distintas copias que haya creado el malware en el sistema.

No obstante, lo primero que necesito es que me suba los dos archivos .txt (FRST.txt y Addition.txt) generados por la herramienta Farbar. Para ello tiene varias opciones:

1) Subir los dos archivos a Google Drive si dispone de una cuenta de correo de Gmail:

Google Drive

2) Subir los dos archivos a OneDrive si dispone de una cuenta de correo de Outlook/Hotmail:

OneDrive

3) Subir los dos archivos a sendspace haciendo clic en el botón Browse y luego en Upload:

sendspace

4) Pegar el contenido completo de los dos archivos en la web de Pastebin, haciendo clic en el botón Create New Paste:

Pastebin

Vuelva a respondernos con los enlaces a esos dos archivos y los reviso.

Un saludo.

Hola Jesús,

Gracias por su rápida respuesta, le adjunto los enlaces:

Un saludo

https://drive.google.com/file/d/1khXXESCr19_jnp07HwQd5xjl3f5LeXXJ/view?usp=sharing

https://drive.google.com/file/d/1Hmyiu7aedj9Om4OXkqwsFRof2BllbPM_/view?usp=sharing

Hola, AlfredoFF:

Gracias por subir el informe de los archivos. Al parecer no otorgó permisos para que accedieramos a ellos, por lo que le he solicitado acceso a ellos.

Un dato que le aporto es que Farbar no recopila ningún tipo de información que pueda ser utilizada por un tercero para atacar o acceder a su equipo. Simplemente, registra los procesos que se están ejecutando en el equipo, los programas que se están iniciando junto con el sistema, las DNS's que está utilizando, algunos de los directorios/archivos creados en los últimos días (no todos), los programas instalados, las extensiones instaladas en los navegadores y otros datos como reglas de cortafuegos, errores que se hayan producido en los últimos días y datos de hardware muy concretos.

Farbar se utiliza diariamente en foros de seguridad tan importantes como los de MalwareBytes, BleepingComputer, Kaspersky, etc. así que es una herramienta 100% segura en ese aspecto.

Un saludo.

Lo siento Jesús, disculpe mi torpeza.

Como no tengo claro si lo hice correctamente ahora, me atreví a enviarselos directamente por correo privado.

Hola, Alfredo:

Vamos por partes.

- En los informes ofrecidos por Farbar, hay algún indicio que me hace pensar que efectivamente el sistema está infectado por el malware AutoIT.

Al menos en el informe aparece una carpeta en la ruta C:\ProgramData\656cb61, creada el día 09-01-2021 a las 23:45 horas y actualizada hoy mismo 11-01-2021 a las 18:09 horas, que con ese nombre aleatorio sin ningún tipo de sentido, me hace pensar que pertenece al malaware AutoIT.

Que esa carpeta esté siendo actualizada, puede ser por dos razones:

1) Usted ha utilizado programas anti-malwares y antivirus (como aparece en los informes de Farbar) y ha hecho que se eliminara parcialmente o se afectara de algún modo al proceso principal del malware, y éste ha creado nuevas copias de sí mismo en ese mismo directorio u en otros.

2) El malware AutoIT está recopilando lo que usted teclea.

- El problema que no encontramos es que Farbar solamente ha podido recopilar esa única información y no es para nada suficiente. Esto ha debido ocurrir porque ha utilizado anti-malwares automáticos (SUPERAntiSpyware) y antivirus (Avast) o por haber intentado eliminar este malware manualmente, por lo que es más que posible que este programa haya afectado a los resultados obtenidos por Farbar.

En el informe sí aparecen algunas entradas y elementos relacionados con otras cuestiones que deberíamos corregir y eliminar.
De esto y de otras cosas, nos encargaremos más tarde.

- La única manera que tenemos de saber si el malware AutoIT sigue en el sistema; y de conocer la ubicación del malware y la entrada del registro que hace que se inicie junto con el sistema si todavía existen, es realizando comprobaciones manuales por lo que necesitaré que me haga capturas de pantalla (a ser posible), o bien indicarme los datos que le iré indicando.

Si desea hacer capturas de pantalla, que luego puede subir por aquí mismo a través del botón "Insertar Imagen" (el penúltimo iconito que aparece en el menú de edición de mensajes), puede hacerlo con la herramienta Recortes:

Abrir la herramienta Recortes y realiza una captura de pantalla

- El primer punto que vamos a revisar es lo que hay en las carpetas donde el malware AutoIT suele esconderse.

1) Revise el directorio raíz C:\ y compruebe si tiene alguna carpeta con nombre testIntel o testIntel2. Si es así, elimine estas carpetas manualmente.

2) Revise además el directorio C:\ProgramData\Intel\Wireless\ y compruebe si dentro de éste hay carpetas (solamente carpetas - no archivos individuales -) creadas con nombres aleatorios (nombres sin ningún tipo de sentido) que contengan en su interior algún archivo .au3, test.au3 junto con un archivo .exe con nombre aleatorio. También es posible que encuentre alguna carpeta con nombre aleatorio que esté vacía.

Si encuentra alguna carpeta que cumpla con estas características, indíquemelo en su próxima respuesta.

3) Revise además el directorio C:\ProgramData\ y compruebe si dentro de éste hay carpetas (solamente carpetas - no archivos individuales -) creadas con nombres aleatorios (nombres sin ningún tipo de sentido) que contengan en su interior algún archivo .au3, test.au3 junto con un archivo .exe con nombre aleatorio. También es posible que encuentre alguna carpeta con nombre aleatorio que esté vacía.

En este caso, sabemos que al menos debe de haber (o existía), una carpeta con el nombre de 656cb61

Si encuentra alguna carpeta que cumpla con estas características, indíquemelo en su próxima respuesta.

4) Por último, necesito que verifique que no tenga creado la ráiz de C:\ ninguna carpeta oculta con el nombre de ALFREDO-PC

Si tuviera esta carpeta, indíquemelo en su próxima respuesta.

Nota: Si no puede visualizar el directorio ProgramData\, siga las instrucciones que encontrará en cualquiera de estos enlaces:
Ver archivos ocultos en Windows 10

Mostrar archivos ocultos

En mi próxima respuesta, revisaremos ramas del registro de Windows.

Hola Jesús,

Muchas gracias por su atención. Parece que la he liado buena...

El avast lo desinstalé hace tiempo y , en teoría, solo uso el Windows Defender y respecto al super spyware lo descargué para intentar resolver el asunto presente. Inicié la ejecución pero interrumpí el proceso al poco de iniciarse ya que empecé a leer que igual empeoraba las cosas, tal como así resultó por lo que veo.

Tengo activado ver elementos ocultos, y:

1) en el raíz no hay carpeta testintel o similar

2) no hay ninguna carpeta ProgramData\Intel\Wireless

3) solo hay con nombres aleatorios la carpeta ya conocida 656cb61 y es la única donde aparece algún fichero.au3

4) no tengo ninguna carpeta ALFREDO-PC

Por otra parte tengo esto en programas de inicio:

Muchas gracias por la información que me ofrece, Alfredo.

No se preocupe porque quizás usted ni tenga nada que ver con lo que ha realizado para que Farbar no haya podido obtener toda la información que necesitamos. Quizás dependiendo también de la variante del malware, la herramienta no sea capaz de obtener los datos por alguna circunstancia especial de la variante del malware.

Me gustaría que todo esto fuese más sencillo creando una herramienta más automatizada para este malware, pero desafortunadamente todavía no he tenido tiempo de ponerme a crearla.

En cuanto a Avast sigue apareciendo en el listado de antivirus existentes en el sistema, aunque aparece como desactivado.

Los datos que me ha ofrecido son de mucha utilidad, pero necesitamos realizar la comprobación del registro de Windows para saber en qué rama se encuentra la entrada que inicia el proceso principal del malware.

Vamos a realizar a continuación las comprobaciones del registro, para ver si encontramos la entrada malintencionada:

- En la barra "Búsqueda en Windows" o "Escribe aquí para buscar", teclee o copie y pegue el siguiente comando:

regedit

Seleccione la opción que aparecerá como resultado con el botón derecho del ratón y escoja la opción "Ejecutar como administrador"

Una vez abierto el editor del registro, navegue hasta la siguiente rama:

Equipo\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Le recuerdo que si tiene Windows 10 actualizado, puede directamente copiar y pegar toda esa ruta que le he indicado en la barra superior del editor del registro.

En la columna derecha, quiero que revise que no tenga ninguna entrada del registro relacionada con el malware AutoIT.

Esto lo puede más o menos intuir porque el malware AutoIT utiliza nombres aleatorios sin sentido: 656cb61, d31b354, fcfffid, b218fd6

Lógicamente, podría ser que la entrada creada por el malware AutoIT, no tenga ninguno de esos nombres que nos indicó, pero lo que sí está claro es que tendrá un nombre sin sentido con caracteres aleatorios.

Como le pedí anteriormente, si puede hacerme una captura de esta rama y de las siguientes que le indicaré a continuación, sería de ayuda para verificar que todo está correcto (aunque tampoco es necesario, siempre que encuentre la rama donde se encuentra la esa entrada maliciosa).

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
<-- esta entrada puede no existir

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder

Si encuentra alguna entrada con nombre aleatorio en algunas de estas ramas, por ahora no haga nada, simplemente indíquemelo en su próxima respuesta, y si es posible súbame una captura de pantalla de donde se encuentra.

Un saludo.

He revisado el registro y solo encontré como nombre aleatorio la ya conocida:

en el resto de entradas no encuentro nada similar

Hola, Alfredo:

¡¡¡Perfecto!!!. Como puede comprobar el malware se inicia en el sistema a partir de la entrada maliciosa existente en la rama de la primera imagen, exactamente en la entrada que tiene por nombre 37c4200e7.

Le explico lo que tiene que hacer, lea con detenimiento hasta el final de esta respuesta, y luego haga lo que aquí le explico (es fácil, no tiene mucha complicación):

Debe de volver a abrir el registro tal como le expliqué en mi anterior respuesta y navegar hasta esa rama HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Una vez en esa rama que es donde se encuentra la entrada con nombre 37c4200e7, deje el registro abierto, y abra el directorio: C:\ProgramData\

En ese directorio, ya sabe que tiene la carpeta 656cb6, que es donde se encuentran los archivos del malware.

Pues bien, usted debe eliminar la entrada del registro 37c4200e7 y la carpeta 656cb6 conjuntamente una tras otra.

La entrada del registro 37c4200e7 se elimina simplemente, haciendo primero un clic izquierdo en el nombre de dicha entrada para señalizarla (el fondo de vuelve de color azúl), y luego haciendo un clic con el botón derecho del ratón sobre esa misma entrada ya señalizada de azúl y seleccionando la opción Eliminar.

Un ejemplo que acabo de crear.

Luego lo más rápido posible, pero tampoco hace falta que sea ultra-rápido porque puede equivocarse y eliminar algo que no es, elimine la carpeta 656cb6 existente en C:\ProgramData\
(tenga en cuenta que ya ganamos rapidez dejando el directorio C:\ProgramData\ abierto junto con la ventana del registro, por lo que no hace falta ser ultra-rápido)

Es probable que el malware si le da tiempo, vuelva a autocrearse creando una nueva carpeta con nombre aleatorio en C:\ProgramData\ y quizás una nueva entrada en el registro, para intentar volver a tomar el control del sistema.
No se preocupe por ello porque es normal, vuelva a eliminar esa posible nueva entrada creada en el registro con nombre aleatorio y la nueva carpeta con nombre aleatorio si esto ocurriera. Es cuestión de insistir hasta que el malware no lo haga (a veces hay usuarios que informan que tuvieron que hacer el proceso hasta tres veces).

Cuando haya realizado este proceso con éxito, el malware ya no debería estar en el sistema.

Vuelva a respondernos para ver si tuvo éxito. De lo contrario buscaremos otra alternativa (aunque menos recomendada).

Un saludo.

Hola Jesús, buenos días.

Llevo un buen rato intentando borrar las carpetas pero el virus siempre me gana la carrera. Es más, la carpeta 656cb61 ya está auto-replicada de nuevo antes de que se quite la barra de eliminación de la pantalla. He probado varias combinaciones: una antes y otra después; con el ratón a con el teclado; reiniciando o sin conexión a internet y nada.

También he anulado la posibilidad de la papelera, es decir, los archivos se eliminarán directamente y también sin éxito.

Por otra parte he visto como, al inicio, la entrada del registro 37c4200e7 no existe. Suele aparecer cuando se ejecuta algún otro programa, por ejemplo: el salvapantallas. Tampoco suele aparecer si trabajo sin conexión a internet.

Supongo que habrá que tomar medidas más contundentes...