Hola, Alfredo:
Vamos por partes.
- En los informes ofrecidos por Farbar, hay algún indicio que me hace pensar que efectivamente el sistema está infectado por el malware
AutoIT.
Al menos en el informe aparece una carpeta en la ruta C:\ProgramData\656cb61, creada el día 09-01-2021 a las 23:45 horas y actualizada hoy mismo 11-01-2021 a las 18:09 horas, que con ese nombre aleatorio sin ningún tipo de sentido, me hace
pensar que pertenece al malaware AutoIT.
Que esa carpeta esté siendo actualizada, puede ser por dos razones:
1) Usted ha utilizado programas anti-malwares y antivirus (como aparece en los informes de Farbar) y ha hecho que se eliminara parcialmente o se afectara de algún modo al proceso principal del malware, y éste ha creado nuevas copias de sí mismo en ese mismo
directorio u en otros.
2) El malware AutoIT está recopilando lo que usted teclea.
- El problema que no encontramos es que Farbar
solamente ha podido recopilar esa única información y no es para nada suficiente. Esto ha debido ocurrir porque ha utilizado anti-malwares automáticos (SUPERAntiSpyware) y antivirus (Avast) o por haber intentado eliminar este malware manualmente, por lo que
es más que posible que este programa haya afectado a los resultados obtenidos por
Farbar.
En el informe sí aparecen algunas entradas y elementos relacionados con otras cuestiones que deberíamos corregir y eliminar.
De esto y de otras cosas, nos encargaremos más tarde.
- La única manera que tenemos de saber si el malware
AutoIT sigue en el sistema; y de conocer la ubicación del malware y la entrada del registro que hace que se inicie junto con el sistema si todavía existen, es realizando comprobaciones manuales por lo que necesitaré que me haga capturas de pantalla
(a ser posible), o bien indicarme los datos que le iré indicando.
Si desea hacer capturas de pantalla, que luego puede subir por aquí mismo a través del botón "Insertar Imagen" (el penúltimo iconito que aparece en el menú de edición de mensajes), puede hacerlo con la herramienta
Recortes:
Abrir la herramienta Recortes y realiza una captura de pantalla
- El primer punto que vamos a revisar es lo que hay en las carpetas donde el malware AutoIT suele esconderse.
1) Revise el directorio raíz C:\ y compruebe si tiene alguna carpeta con nombre
testIntel o testIntel2. Si es así, elimine estas carpetas manualmente.
2) Revise además el directorio C:\ProgramData\Intel\Wireless\
y compruebe si dentro de éste hay carpetas (solamente carpetas - no archivos individuales -) creadas con nombres aleatorios (nombres sin ningún tipo de sentido) que contengan en su interior algún archivo
.au3, test.au3 junto con un archivo .exe
con nombre aleatorio. También es posible que encuentre alguna carpeta con nombre aleatorio que esté vacía.
Si encuentra alguna carpeta que cumpla con estas características, indíquemelo en su próxima respuesta.
3) Revise además el directorio C:\ProgramData\
y compruebe si dentro de éste hay carpetas (solamente carpetas - no archivos individuales -) creadas con nombres aleatorios (nombres sin ningún tipo de sentido) que contengan en su interior algún archivo
.au3, test.au3 junto con un archivo .exe
con nombre aleatorio. También es posible que encuentre alguna carpeta con nombre aleatorio que esté vacía.
En este caso, sabemos que al menos debe de haber (o existía), una carpeta con el nombre de
656cb61
Si encuentra alguna carpeta que cumpla con estas características, indíquemelo en su próxima respuesta.
4) Por último, necesito que verifique que no tenga creado la ráiz de C:\ ninguna carpeta oculta con el nombre de
ALFREDO-PC
Si tuviera esta carpeta, indíquemelo en su próxima respuesta.
Nota: Si no puede visualizar el directorio
ProgramData\, siga las instrucciones que encontrará en cualquiera de estos enlaces:
Ver archivos ocultos en Windows 10
Mostrar archivos ocultos
En mi próxima respuesta, revisaremos ramas del registro de Windows.