Compartir a través de

Windows 10 • Problema Autolt v3 script.

Anónimas
2019-04-04T14:57:06+00:00

Yo tambien estoy teniendo problemas con dicho script. Lo que he notado es que al iniciar el pc con el corsair link puedo ver que me va la cpu al 100% pero en cuando abro el administrador de tareas desaparece...

adjunto el log de HiJackThis.  Diria que el troyano es ef185d78 (pone file missing porque lo eliminé intentando seguir los pasos que habian en la comunidad de otros usuarios pero parece que se ha replicado).

Logfile of HiJackThis Fork by Alex Dragokas v.2.9.0.18

Platform:  x64 Windows 10 (Pro), 10.0.17763.404 (ReleaseId: 1809), Service Pack: 0

Time:      04.04.2019 - 16:50 (UTC+02:00)

Language:  OS: Spanish (0xC0A). Display: Spanish (0xC0A). Non-Unicode: Spanish (0xC0A)

Elevated:  Yes

Ran by:    PitiFJ (group: Administrator) on PITIFJ, FirstRun: yes

Chrome:  73.0.3683.86

Edge:    11.0.17763.404

Internet Explorer: 11.0.17763.1

Default: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "%1" (Google Chrome)

Boot mode: Normal

Running processes:

Number | Path

   1  C:\Program Files (x86)\Adguard\Adguard.exe

   1  C:\Program Files (x86)\Adguard\AdguardSvc.exe

   1  C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGMService.exe

   1  C:\Program Files (x86)\CorsairLink4\CorsairLink4.Service.exe

   1  C:\Program Files (x86)\CorsairLink4\CorsairLink4.exe

   1  C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe

   1  C:\Program Files (x86)\Creative\Sound Blaster Z-Series\Sound Blaster Z-Series Control Panel\SBZ.exe

  34  C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

   1  C:\Program Files (x86)\Intel\Intel(R) Security Assist\isaHelperService.exe

   1  C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe

   1  C:\Program Files (x86)\NVIDIA Corporation\NvNode\NVIDIA Web Helper.exe

   1  C:\Program Files (x86)\RivaTuner Statistics Server\EncoderServer.exe

   1  C:\Program Files (x86)\RivaTuner Statistics Server\RTSS.exe

   1  C:\Program Files (x86)\RivaTuner Statistics Server\RTSSHooksLoader64.exe

   1  C:\Program Files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe

   1  C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

   1  C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

   1  C:\Program Files\Logitech Gaming Software\ArxApplets\Discord\logitechg_discord.exe

   1  C:\Program Files\Logitech Gaming Software\Drivers\APOService\LogiRegistryService.exe

   1  C:\Program Files\Logitech Gaming Software\LCore.exe

   2  C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe

   3  C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA Share.exe

   3  C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe

   1  C:\Program Files\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe

   1  C:\Program Files\NVIDIA Corporation\ShadowPlay\nvsphelper64.exe

   1  C:\Program Files\WindowsApps\Microsoft.SkypeApp_14.42.60.0_x64__kzf8qxf38zg5c\SkypeApp.exe

   1  C:\Program Files\WindowsApps\Microsoft.SkypeApp_14.42.60.0_x64__kzf8qxf38zg5c\SkypeBackgroundHost.exe

   1  C:\Program Files\WindowsApps\Microsoft.WindowsStore_11811.1001.27.0_x64__8wekyb3d8bbwe\WinStore.App.exe

   1  C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1902.2-0\MsMpEng.exe

   1  C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1902.2-0\NisSrv.exe

   1  C:\Windows\ImmersiveControlPanel\SystemSettings.exe

   2  C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe

   1  C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe

   1  C:\Windows\System32\ApplicationFrameHost.exe

   1  C:\Windows\System32\CompPkgSrv.exe

   1  C:\Windows\System32\MicrosoftEdgeCP.exe

   1  C:\Windows\System32\MicrosoftEdgeSH.exe

   1  C:\Windows\System32\PnkBstrA.exe

   7  C:\Windows\System32\RuntimeBroker.exe

   1  C:\Windows\System32\SearchIndexer.exe

   1  C:\Windows\System32\SecurityHealthService.exe

   1  C:\Windows\System32\SecurityHealthSystray.exe

   1  C:\Windows\System32\SettingSyncHost.exe

   1  C:\Windows\System32\SgrmBroker.exe

   1  C:\Windows\System32\WWAHost.exe

   1  C:\Windows\System32\audiodg.exe

   1  C:\Windows\System32\browser_broker.exe

   1  C:\Windows\System32\conhost.exe

   2  C:\Windows\System32\csrss.exe

   1  C:\Windows\System32\ctfmon.exe

   1  C:\Windows\System32\dasHost.exe

   1  C:\Windows\System32\dllhost.exe

   1  C:\Windows\System32\dwm.exe

   2  C:\Windows\System32\fontdrvhost.exe

   1  C:\Windows\System32\lsass.exe

   1  C:\Windows\System32\mqsvc.exe

   1  C:\Windows\System32\rundll32.exe

   1  C:\Windows\System32\services.exe

   1  C:\Windows\System32\sihost.exe

   1  C:\Windows\System32\smartscreen.exe

   1  C:\Windows\System32\smss.exe

   1  C:\Windows\System32\snmp.exe

   1  C:\Windows\System32\spoolsv.exe

  72  C:\Windows\System32\svchost.exe

   1  C:\Windows\System32\taskhostw.exe

   2  C:\Windows\System32\wbem\WmiPrvSE.exe

   1  C:\Windows\System32\wininit.exe

   1  C:\Windows\System32\winlogon.exe

   1  C:\Windows\System32\wscript.exe

   1  C:\Windows\SystemApps\InputApp_cw5n1h2txyewy\WindowsInternal.ComposableShell.Experiences.TextInput.InputApp.exe

   1  C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe

   1  C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe

   1  C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe

   1  C:\Windows\explorer.exe

   1  D:\DESCARGAS\HiJackThis.exe

   1  D:\ORIGIN\OriginWebHelperService.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE03&ocid=UE03DHP

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local;<local>

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: [SuggestionsURL] = https://api.bing.com/qsml.aspx?query={searchTerms}&market={language}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IESS02&pc=UE04

  • Bing

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: [URL] = https://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02&pc=UE04 - Bing

O1 - Hosts: Reset contents to default

O1 - Hosts: 127.0.0.1 www.r2rdownload.net

O1 - Hosts: 127.0.0.1 www.r2rdownload.com

O1 - Hosts: 127.0.0.1 www.elephantafiles.com

O1 - Hosts: 127.0.0.1 live.virtualdj.com

O1 - Hosts: 127.0.0.1 vortex.data.microsoft.com

O1 - Hosts: 127.0.0.1 vortex-win.data.microsoft.com

O1 - Hosts: 127.0.0.1 telecommand.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 telecommand.telemetry.microsoft.com.nsatc.net

O1 - Hosts: 127.0.0.1 oca.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 oca.telemetry.microsoft.com.nsatc.net

O1 - Hosts: 127.0.0.1 sqm.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 sqm.telemetry.microsoft.com.nsatc.net

O1 - Hosts: 127.0.0.1 watson.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 watson.telemetry.microsoft.com.nsatc.net

O1 - Hosts: 127.0.0.1 redir.metaservices.microsoft.com

O1 - Hosts: 127.0.0.1 choice.microsoft.com

O1 - Hosts: 127.0.0.1 choice.microsoft.com.nsatc.net

O1 - Hosts: 127.0.0.1 df.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 reports.wes.df.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 wes.df.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 services.wes.df.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 sqm.df.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 watson.ppe.telemetry.microsoft.com

O1 - Hosts: 127.0.0.1 telemetry.appex.bing.net

O1 - Hosts: 127.0.0.1 telemetry.urs.microsoft.com

O1 - Hosts: 127.0.0.1 telemetry.appex.bing.net:443

O1 - Hosts: 127.0.0.1 settings-sandbox.data.microsoft.com

O1 - Hosts: 127.0.0.1 vortex-sandbox.data.microsoft.com

O1 - Hosts: 127.0.0.1 survey.watson.microsoft.com

O1 - Hosts: 127.0.0.1 watson.live.com

O1 - Hosts: 127.0.0.1 watson.microsoft.com

O1 - Hosts: 127.0.0.1 statsfe2.ws.microsoft.com

O1 - Hosts: 127.0.0.1 corpext.msitadfs.glbdns2.microsoft.com

O1 - Hosts: 127.0.0.1 compatexchange.cloudapp.net

O1 - Hosts: 127.0.0.1 cs1.wpc.v0cdn.net

O1 - Hosts: 127.0.0.1 a-0001.a-msedge.net

O1 - Hosts: 127.0.0.1 statsfe2.update.microsoft.com.akadns.net

O1 - Hosts: 127.0.0.1 sls.update.microsoft.com.akadns.net

O1 - Hosts: 127.0.0.1 fe2.update.microsoft.com.akadns.net

O1 - Hosts: 127.0.0.1 diagnostics.support.microsoft.com

O1 - Hosts: 127.0.0.1 corp.sts.microsoft.com

O1 - Hosts: 127.0.0.1 statsfe1.ws.microsoft.com

O1 - Hosts: 127.0.0.1 pre.footprintpredict.com

O1 - Hosts: 127.0.0.1 i1.services.social.microsoft.com

O1 - Hosts: 127.0.0.1 i1.services.social.microsoft.com.nsatc.net

O1 - Hosts: 127.0.0.1 feedback.windows.com

O1 - Hosts: 127.0.0.1 feedback.microsoft-hohm.com

O1 - Hosts: 127.0.0.1 feedback.search.microsoft.com

O1 - Hosts: 127.0.0.1 rad.msn.com

O1 - Hosts: 127.0.0.1 preview.msn.com

O1 - Hosts: 127.0.0.1 ads.msn.com

O1 - Hosts: 127.0.0.1 ads1.msads.net

O1 - Hosts: 127.0.0.1 ads1.msn.com

O1 - Hosts: 127.0.0.1 a.ads1.msn.com

O1 - Hosts: 127.0.0.1 a.ads2.msn.com

O1 - Hosts: 127.0.0.1 adnexus.net

O1 - Hosts: 127.0.0.1 adnxs.com

O1 - Hosts: 127.0.0.1 az361816.vo.msecnd.net

O1 - Hosts: 127.0.0.1 az512334.vo.msecnd.net

O1 - Hosts: 0.0.0.0 telemetry.malwarebytes.com

O1 - Hosts: 127.0.0.1 idb.iobit.com

O1 - Hosts: 127.0.0.1 asc55.iobit.com

O1 - Hosts: 127.0.0.1 is360.iobit.com

O1 - Hosts: 127.0.0.1 asc.iobit.com

O1 - Hosts: 127.0.0.1 pf.iobit.com

O1 - Hosts: 127.0.0.1 iunins.iobit.com

O1 - Hosts: 127.0.0.1 sd.iobit.com

O1 - Hosts: 127.0.0.1 live.virtualdj.com

O1 - Hosts: 127.0.0.1 userarea.d16.pl

O1 - Hosts: 127.0.0.1 app.****

O1 - Hosts: 149.202.196.40 dow0.****

O1 - Hosts: 149.202.196.40 dow1.****

O1 - Hosts: 127.0.0.1 cdn.****

O2 - HKLM..\BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer.dll

O2 - HKLM..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre1.8.0_201\bin\jp2ssv.dll

O2 - HKLM..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.8.0_201\bin\ssv.dll

O4 - HKCU..\RunOnce: [ef185d782] = C:\ProgramData\JasUSnJ\ef185d78.exe C:\ProgramData\JasUSnJ\ef185d78test.au3

O4 - HKCU..\RunOnce: [ef185d78] = C:\ProgramData\ef185d78\ef185d78.exe C:\ProgramData\ef185d78\ef185d78test.au3 (file missing)

O4 - HKLM..\Run: [Launch LCore] = C:\Program Files\Logitech Gaming Software\LCore.exe /minimized

O4 - HKLM..\Run: [RunDLLEntry] = C:\WINDOWS\system32\AmbRunE.dll C:\WINDOWS\system32\AmbRunE.dll,RunDLLEntry

O4 - HKLM..\Run: [SecurityHealth] = C:\WINDOWS\system32\SecurityHealthSystray.exe

O4 - HKLM..\StartupApproved\Run32: [SunJavaUpdateSched] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (2014/03/12)

O4 - HKLM..\StartupApproved\Run32: [kxesc] = C:\Program Files (x86)\Kingsoft\kingsoft antiviruskxetray.exe -autorun (file missing) (2015/11/26)

O4 - HKLM..\StartupApproved\Run: [AdobeGCInvoker-1.0] = C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe (2019/04/04)

O4 - HKLM..\StartupApproved\Run: [IAStorIcon] = C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60 (2016/10/13)

O4 - HKLM..\StartupApproved\StartupFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SoundGrid Studio.lnk    ->    C:\Program Files (x86)\Waves\SoundGrid Studio\SoundGrid Studio.exe (2018/06/15)

O4-32 - HKLM..\Run: [Sound Blaster Z-Series Control Panel] = C:\Program Files (x86)\Creative\Sound Blaster Z-Series\Sound Blaster Z-Series Control Panel\SBZ.exe /r

O4-32 - HKLM..\Run: [UpdReg] = C:\WINDOWS\UpdReg.EXE

O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (Realtek HD Audio Control Panel)

O5-32 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load: [collab.cpl] (file missing)

O8 - Context menu item: HKCU..\Internet Explorer\MenuExt&Enviar a OneNote: (default) = C:\Program Files\Microsoft Office\Office16\ONBttnIE.dll (file missing)

O8 - Context menu item: HKCU..\Internet Explorer\MenuExt\Descargar con IDM todos los enlaces : (default) = C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm (file missing)

O8 - Context menu item: HKCU..\Internet Explorer\MenuExt\Descargar con IDM: (default) = C:\Program Files (x86)\Internet Download Manager\IEExt.htm (file missing)

O9 - Button: HKLM..{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)

O16-32 - DPF: HKLM..{D4B68B83-8710-488B-A692-D74B50BA558E}\DownloadInformation: Creative Software AutoUpdate Support Package 2 [CODEBASE] = http://files.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab

O16-32 - DPF: HKLM..{F6ACF75C-C32C-447B-9BEF-46B766368D29}\DownloadInformation: Creative Software AutoUpdate Support Package [CODEBASE] = http://files.creative.com/Web/softwareupdate/ocx/150323/CTPID.cab

O17 - DHCP DNS 1: 1.1.1.1

O17 - DHCP DNS 2: 8.8.8.8 (Well-known DNS: Google)

O17 - DHCP DNS 3: 8.8.4.4 (Well-known DNS: Google)

O17 - HKLM\System\CCS\Services\Tcpip..{11d0fb5e-55a4-4783-ac56-82fd36c58737}: [NameServer] = 1.1.1.1

O17 - HKLM\System\CCS\Services\Tcpip..{11d0fb5e-55a4-4783-ac56-82fd36c58737}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)

O17 - HKLM\System\CCS\Services\Tcpip..{3d7645be-0db3-4914-bdc8-0fed54f91941}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)

O17 - HKLM\System\CCS\Services\Tcpip..{3d7645be-0db3-4914-bdc8-0fed54f91941}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)

O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = (no CLSID) - (no file)

O21 - HKLM..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)

O21 - HKLM..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-****2A-42D9-9328-24A483E2CCC3} - (no file)

O21 - HKLM..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

O21 - HKLM..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

O21 - HKLM..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

O21 - HKLM..\ShellIconOverlayIdentifiers\IDM Shell Extension: (no name) - {CDC95B92-E27C-4745-A****2-2A5D9D2F7F30} - (no file)

O21-32 - HKLM..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)

O21-32 - HKLM..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)

O21-32 - HKLM..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)

O21-32 - HKLM..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

O22 - Task (.job): (disabled) (Not scheduled) CreateExplorerShellUnelevatedTask.job - C:\WINDOWS\explorer.exe /NOUACCHECK

O22 - Task (.job): Driver Easy Scheduled Scan.job - C:\Program Files\Easeware\DriverEasy\DriverEasy.exe --scan

O23 - Service R2: Adguard Service - C:\Program Files (x86)\Adguard\AdguardSvc.exe

O23 - Service R2: Adobe Genuine Monitor Service - (AGMService) - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGMService.exe

O23 - Service R2: Creative Audio Service - (CTAudSvcService) - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe

O23 - Service R2: Intel(R) Dynamic Application Loader Host Interface Service - (jhi_service) - C:\Program Files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe

O23 - Service R2: Intel(R) Management and Security Application Local Management Service - (LMS) - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

O23 - Service R2: Intel(R) Rapid Storage Technology - (IAStorDataMgrSvc) - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

O23 - Service R2: Intel(R) Security Assist Helper - (isaHelperSvc) - C:\Program Files (x86)\Intel\Intel(R) Security Assist\isaHelperService.exe

O23 - Service R2: Logitech Gaming Registry Service - (LogiRegistryService) - C:\Program Files\Logitech Gaming Software\Drivers\APOService\LogiRegistryService.exe

O23 - Service R2: NVIDIA Display Container LS - (NVDisplay.ContainerLocalSystem) - C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem" -r -p 30000 

O23 - Service R2: NVIDIA LocalSystem Container - (NvContainerLocalSystem) - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -s NvContainerLocalSystem -f "C:\ProgramData\NVIDIA\NvContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\NvContainer\plugins\LocalSystem" -r -p 30000 -st "C:\Program Files\NVIDIA Corporation\NvContainer\NvContainerTelemetryApi.dll"

O23 - Service R2: NVIDIA Telemetry Container - (NvTelemetryContainer) - C:\Program Files\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe -s NvTelemetryContainer -f "C:\ProgramData\NVIDIA\NvTelemetryContainer.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\NvTelemetry\plugins" -r

O23 - Service R2: Origin Web Helper Service - D:\ORIGIN\OriginWebHelperService.exe

O23 - Service R2: PnkBstrA - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service R3: Corsair LINK 4 - (CLink4Service) - C:\Program Files (x86)\CorsairLink4\CorsairLink4.Service.exe

O23 - Service S2: Intel Bluetooth Service - (ibtsiva) - C:\Program Files (x86)\Intel\Bluetooth\utilities\ibtsiva.exe

O23 - Service S2: SQL Server (MSSQLSERVER) - (MSSQLSERVER) - C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe -sMSSQLSERVER (file missing)

O23 - Service S2: SQL Server (SQLEXPRESS) - (MSSQL$SQLEXPRESS) - C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe -sSQLEXPRESS (file missing)

O23 - Service S2: Servicio de Google Update (gupdate) - (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /svc

O23 - Service S2: Sound Blaster Audio Service - (CtHdaSvc) - C:\WINDOWS\sysWow64\CtHdaSvc.exe

O23 - Service S3: Adobe Flash Player Update Service - (AdobeFlashPlayerUpdateSvc) - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service S3: BattlEye Service - (BEService) - C:\Program Files (x86)\Common Files\BattlEye\BEService.exe

O23 - Service S3: EasyAntiCheat - C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe

O23 - Service S3: Google Chrome Elevation Service - (GoogleChromeElevationService) - C:\Program Files (x86)\Google\Chrome\Application\73.0.3683.86\elevation_service.exe

O23 - Service S3: InstallDriver Table Manager - (IDriverT) - C:\Program Files (x86)\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service S3: Intel(R) Capability Licensing Service TCP IP Interface - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe

O23 - Service S3: Intel(R) Content Protection HECI Service - (cphs) - C:\WINDOWS\SysWow64\IntelCpHeciSvc.exe

O23 - Service S3: Intel(R) Integrated Clock Controller Service - Intel(R) ICCS - (ICCS) - C:\Program Files (x86)\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe

O23 - Service S3: Intel(R) Security Assist - C:\Program Files (x86)\Intel\Intel(R) Security Assist\isa.exe

O23 - Service S3: NVIDIA NetworkService Container - (NvContainerNetworkService) - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -s NvContainerNetworkService -f "C:\ProgramData\NVIDIA\NvContainerNetworkService.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\NvContainer\plugins\NetworkService" -r -p 30000 -st "C:\Program Files\NVIDIA Corporation\NvContainer\NvContainerTelemetryApi.dll"

O23 - Service S3: Office 64 Source Engine - (ose64) - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

O23 - Service S3: Origin Client Service - D:\ORIGIN\OriginClientService.exe

O23 - Service S3: Servicio de Google Update (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc

O23 - Service S3: Steam Client Service - C:\Program Files (x86)\Common Files\Steam\SteamService.exe /RunAsService

O23 - Service S3: Visual Studio Standard Collector Service - (VSStandardCollectorService140) - C:\Program Files (x86)\Microsoft Visual Studio 14.0\Team Tools\DiagnosticsHub\Collector\StandardCollector.Service.exe

--

End of file - Time spent: 26 sec. - 42500 bytes, CRC32: FFFFFFFF. Sign: 뎡㫽

Windows para el hogar | Windows 10 | Seguridad y privacidad

Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta.

0 comentarios

Respuesta aceptada por el autor de la pregunta

  1. Anónimas
    2019-04-04T17:14:06+00:00

    Vamos a los pasos finales para eliminar el malware.

    1) Realice una copia de seguridad del registro:

    • Para hacerlo descargue >> DelFix en su escritorio.
      • Doble clic para ejecutarlo.
      • Marque unicamente la casilla "Create registry backup".
    • Haga clic en el botón Run.

    Se abrirá el informe (DelFix.txt), guárdelo por si fuera necesario y cierre la herramienta.

    2) Descargue el archivo fixlist.txt (que le he subido a Google Drive) en el ESCRITORIO del sistema. Para ello debe hacer clic en la flechita de descarga situada en la parte derecha del menú superior.

    Es necesario que tanto el ejecutable del programa Frst.exe como el archivo fixlist.txt que le he subido, se encuentren en la misma ubicación (ESCRITORIO) o de lo contrario la herram ienta no trabajará.

    • Ejecute Frst.exe.
    • Haga clic en el botón Fix y espere a que finalice el proceso.
    • La Herramienta guardará el reporte en su escritorio (con el nombre de Fixlog.txt).

    Reinicie o apague el equipo.

    3) Ahora quiero que compruebe dos cosas:

    La primera es que revise el directorio C:\ProgramData y que busque si dentro de ella hay carpetas creadas con nombres aleatorios. Es posible que haya alguna debido a que el malware está continuamente creándolas y cambiándolas de nombre. Por favor, si encuentra alguna carpeta con nombre aleatorio elimínela manualmente.

    Del mismo modo, revise en *C:* si existe alguna carpeta con nombre aleatorio y finalizadas con un doble guíón bajo __   (  por poner un ejemplo  C:**ljhknbkueu__**)

    Nota: Si no encuentra el directorio ProgramData es porque lo tendrá oculto. Puede visualizarlo, siguiendo las instrucciones que encontrará en cualquiera de estos enlaces:Ver archivos ocultos en Windows 10

    Mostrar archivos ocultos

    ***ALGUNOS DETALLES QUE DEBE CONSIDERAR***

     Los limpiadores de registro y optimizadores del sistema están desaconsejados. CCleaner podría llegar a provocarle problemas en el sistema y/o en las aplicaciones que tenga instaladas si lo utiliza de manera automática sin revisar lo que el programa está realmente haciendo.

    Un saludo.

    2 personas han encontrado útil esta respuesta.
    0 comentarios

4 respuestas adicionales

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Anónimas
    2019-04-04T18:08:29+00:00

    Perfecto si ha eliminado esa carpeta que aparece en la imagen que me adjunta ;)

    Se ha debido crear mientras usted me enviaba los informes y yo los revisaba.

    Lo último que quiero indicarle es que dentro de C *:* encontará el directorio FRST.

    Este es un directorio creado por la herramienta Farbar Recovery Scan Tooldonde se mantiene dentro de la carpeta Quarantine una copia neutralizada de los elementos que hemos eliminados por si fuese necesario recuperarlos por si hubiésemos cometido algún error y quisieramos recuperar alguno de ellos. También dentro del directorio FRST se encuentra otra carpeta nombrada como Hives que contiene una copia del registro del sistema.

    Usted puede eliminarlar completamente el directorio FRST manualmente cuando quiera.

    Los expertos además suelen utilizar la herramienta Delfix (que utilizamos anteriormente para hacer una copia del registro), para eliminar las herramientas de desinfección utilizadas. Para ello, solamente tiene que seleccionar la casilla Remove desinfection tools y hacer clic en el botón Run.

    Por aquí nos tiene cuando lo vuelva a necesitar.

    Un saludo y que le vaya todo bien ;)

    1 persona ha encontrado útil esta respuesta.
    0 comentarios
  2. Anónimas
    2019-04-04T15:35:45+00:00

    Hola, PitiFJ:

    Efectivamente una de las entradas y carpetas creadas por este malware es la que usted indica al inicio de su consulta: ef185d78

    Sin embargo, no se fije en el detalle de (file is missing) porque la herramienta HiJackThis dejó de tener soporte oficial y el informe que ofrece en muchas ocasiones está lleno de elementos que indican eso de (file is missing) cuando en realidad no es así.

    Bueno, vamos a lo importante que es solucionar su problema. Por favor, siga los siguientes pasos:

    1) Vuelva a abrir el programa HiJackThis, seleccionando la opción: Do a system scan only.

    A continuación, marque las dos siguientes entradas, utilizando la casilla de verificación que aparece a la izquierda de cada una de ellas:

    O4 - HKCU..\RunOnce: [ef185d782] = C:\ProgramData\JasUSnJ\ef185d78.exe C:\ProgramData\JasUSnJ\ef185d78test.au3

    O4 - HKCU..\RunOnce: [ef185d78] = C:\ProgramData\ef185d78\ef185d78.exe C:\ProgramData\ef185d78\ef185d78test.au3 (file missing)

    Una vez marcada dichas entradas, haga clic en el botón Fix checked. Cierre el programa.

    2) El siguiente programa que deberemos utilizar es Farbar Recovery Scan Tool

    Farbar Recovery Scan Tool tiene dos versiones (32 bits o 64 bits). Descargue la versión correspondiente a la arquitectura del sistema que esté utilizando.

    • Ejecute Farbar Recovery Scan Tool: FRST.exe.
    • En el mensaje de la ventana del Disclaimer, debe hacer clic en el botón Yes.
    • En la ventana principal, debe marcar las casillas de verificación "Registry", "Services", "Drivers", "Processes" e "Internet". Además, DEBE ASEGURARSE de marcar la casilla de verificación "Addition.txt". Haga clic en el botón Scan y espere a que concluya el análisis.

    ![](https://learn-attachment.microsoft.com/api/attachments/1d0b6594-ad0b-4edb-a532-0a3212cedb57?platform=QnA)

    • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en la misma ubicación donde está ejecutando la herramienta. Es recomendable que la herramienta sea ejecutada en el escritorio.
    • Ahora con esos dos archivos logs tiene varias opciones: 1) Subir los dos archivos a Google Drive si dispone de una cuenta de correo de Gmail: Google Drive 2) Subir los dos archivos a OneDrive si dispone de una cuenta de correo de Outlook/Hotmail: OneDrive 3) Subir los dos archivos a sendspace haciendo clic en el botón Browse y luego en Upload: sendspace 4) Pegar el contenido completo de los dos archivos en la web de Pastebin, haciendo clic en el botón Create New Paste: Pastebin

    Vuelva a respondernos con los enlaces a esos dos archivos y los reviso.

    1 persona ha encontrado útil esta respuesta.
    0 comentarios
  3. Anónimas
    2019-04-04T17:36:44+00:00

    Me ha aparecido esta y la he borrado:

    https://gyazo.com/2f3a907bab5675c241d88edf3a150ff8

    Se supone que eliminándola ya esta será la última?

    En C:\ no ha aparecido nada. Y ahora al iniciar el pc ya no se pone la cpu al 100% diría que solucionado.

    Muchas gracias!!

    0 comentarios
  4. Anónimas
    2019-04-04T15:57:13+00:00
    0 comentarios