Windows 10 / Virus Explorer.vbe en PC y USB

Fernanyo76 ,

Me comenta en su última respuesta que no detecta los pendrive. ¿Se refiere a que no se le muestran el sistema o a que no se ejecutan automáticamente?. No hemos tocado nada referente a ese tema de autoejecución de pendrives, ni a nada relacionado con controladores ni con archivos importantes del sistema.

En el caso de que no se autoejecuten, no se si alguna de las herramientas que está utilizando para proteger los pendrives habrá desactivado esa opción para que no se vuelvan a infectar. Algunos programas de ese tipo lo hacen.

En el caso de que no se detecten los pendrives, sinceramente no se qué ha podido pasar. A no ser que alguno de los malwares eliminados esté relacionado con ese tema (que aparentemente por las entradas eliminadas esto no debería ocurrir), y al haberlo eliminado ya no los detecte, no le encuentro una explicación. DE CUALQUIER FORMA, SI SE ENCUENTRA EN ESTE ÚLTIMO PUNTO, TIENE DOS OPCIONES:

1 - HEMOS CREADO UN PUNTO DE RESTAURACIÓN ANTES DE HACER NADA CON FarBar. ASÍ PUES, TAN SOLAMENTE TENDRÍA QUE SELECCIONAR ESE PUNTO DE RESTAURACIÓN Y EL SISTEMA VOLVERÁ A ESTAR COMO ANTES: Opciones de recuperación de Windows 10

Siga las instrucciones de la sección: **"Restaurar desde un punto de restauración del sistema"**Al hacer esto, tendría que empezar casi de nuevo con todo lo que hemos hecho, hasta detectar cuando se produce el problema.

2 - SI QUIERE SEGUIR ADELANTE, PODRÍA EJECUTAR ALGUNOS COMANDOS DEL SISTEMA PARA VER SI HAY ALGÚN PROBLEMA DE INTEGRIDAD DE LOS ARCHIVOS DEL SISTEMA, O REALIZAR OTRO TIPO DE COMPROBACIONES.

-> Usted decide lo que hacer, porque desde aquí a distancia no puedo aconsejarle sin conocer todos los detalles.

Con respecto en los que hemos estado trabajando hasta ahora, desde luego hay un malware que lo está provocando la tárea/proceso AutoIt V3 Script que aparece en el Administrador de Tareas. En su imagen aparece ejecutándose 3 veces.

Ese proceso está relacionado con las claves siguientes que le indiqué en mi última respuesta:

Startup: C:\Users\ferna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e0a78432274771b41fa9cb3f4aaf8eee.lnk [2018-07-08]

ShortcutTarget: e0a78432274771b41fa9cb3f4aaf8eee.lnk -> C:\MSI\jkaisgrarw.exe (AutoIt Team)

ShortcutTarget: e0a78432274771b41fa9cb3f4aaf8eee.lnk -> C:\MSI\jkaisgrarw.exe (AutoIt Team)

Startup: C:\Users\ferna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GoogleDrive.lnk [2018-06-22]

ShortcutTarget: GoogleDrive.lnk -> C:\MSI\jkaisgrarw.exe (AutoIt Team)

Además, en la imagen que me manda del registro de Windows, aparece también la entrada con nombre e0a78432274771b41fa9cb3f4aaf8eee.lnk, que dirige a dos archivos que en teoría ya eliminamos con HiJackThis y que están ubicados en:

C:\ProgramData\e0a78432274771b41fa9cb3f4aaf8eee\e0a78432274771b41fa9cb3f4aaf8eee.exe

y

C:\ProgramData\e0a78432274771b41fa9cb3f4aaf8eee\test.au3Como verá el primero de los archivos también aparece en su última imágen (donde usted me indica que no le suena), y es el que se inicia junto con Windows.

Debemos eliminar toda referencia a esos procesos y eliminar los archivos y las entradas del registro asociados a ese malware.

PASOS A SEGUIR:

1) Descargar el archivo fixlist.txten el escritorio de Windows. Es necesario que el ejecutableFrst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o de lo contrario la herram ienta no trabajará.

• Ejecute Frst.exe.
• Haga clic en el botón Fix y espere a que finalice el proceso.
• La Herramienta guardará el reporte en su escritorio (con el nombre de Fixlog.txt).

2) Cuando el proceso termine, reinicie el equipo. Compruebe si esos procesos AutoIt Team, siguen apareciendo en el Administrador de Tareas.

****Además, compruebe las entradas del registro para ver si en la rama Equipo\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run se encuentra o no la entrada e0a78432274771b41fa9cb3f4aaf8eee

Por último, compruebe si existen los archivos y si alguno de ellos existe trate de eliminarlos manualmente:

C:\MSI\jkaisgrarw.exe

C:\ProgramData\e0a78432274771b41fa9cb3f4aaf8eee\e0a78432274771b41fa9cb3f4aaf8eee.exe

C:\ProgramData\e0a78432274771b41fa9cb3f4aaf8eee\test.au3

3) Si el problema continúa o algunos de los pasos anteriores no funciona, tendremos que hacer las tareas manualmente, intentando detener y deshabilitar los procesos AutoIt Team manualmente desde el Administrador de tareas, y eliminando la entrada del malware del registro y los archivos que le indiqué anteriormente.

Un saludo.

¡¡¡Vaya, me alegro mucho!!!. Nos ha llevado un tiempo, pero lo hemos conseguido.

Estaba preocupado porque no se detectara el pendrive. Ayer estuve dándole vueltas a por qué podría haber ocurrido, pero todas las teorías que encontraba me parecían absurdas.

Ha hecho un buen trabajo y gracias por explicar los pasos que realizó, porque es posible que a algún usuario le pueda ser de ayuda si se encuentra con el mismo problema.

Por cierto, quiero agradecer también al compañero Omar, que le empezó a ayudar en este Hilo de discusión porque me ofreció información sobre el registro de Windows, que no había tenido en cuenta. Él me señaló el camino.

Saludos y por aquí nos tiene cuando lo vuelva a necesitar.