Compartir a través de

Windows 10 ≡ Proceso utiliza 100% CPU = AutolT V3 script (beta).

Anónimas
2019-04-24T12:51:49+00:00

Hola, aunque ya he visto varios hilos al respecto de este problema, contare mi experiencia personal.

Últimamente estoy notando que el PC (es un portátil) se ralentiza demasiado, tiene poco mas de 1 año y me parecía raro pero no le di mayor importancia. Ademas, también empece a notar que los ventiladores se activaban con mayor frecuencia, algo que ya me puso la mosca detrás de la oreja. Jugando a un juego (Rocket League para ser exactos) veía que me daban bajones de FPS demasiado frecuentes (también en otros juegos) algo que ya me confirmó que algo raro le estaba pasando a mi pc. Total, finalizo mi sesión de juego, y cuando salgo al escritorio, como había dejado el administrador de tareas y el dragon center de msi abiertos para ver que pasaba, veo la CPU al 100% y pensando que seria del juego, y que en un par de segundos se actualizaría y ya bajaría, veo que no y me fijo que hay un proceso con dicho nombre (AutolT V3 script (beta)) que me esta comiendo el 90% de la CPU. Empiezo a buscar y me veo el percal de que es una malware usado frecuentemente para minado de criptomonedas y robo de datos. En ese momento lo entendí TODO, porque el PC iba mas lento de lo normal, porque lo juegos me iban con bajones constantes y poco fluidos...Antes de eso, cuando veía que la CPU estaba al 100% con el dragon center, abría rápidamente el administrador de tareas para ver que proceso era, pero en cuanto se abría, este desaparecía rápidamente y no tenia tiempo a ver cual era y la CPU volvía a su estado normal del 2-5%.

Me he leído ya unos cuantos hilos y las respuestas de Jesús Ruiz García, y ahora es mi turno de pedir ayuda. El archivo que cacé (systeminfo.exe), se ubicaba en la carpeta:

C:\Users\Álvaro.DESKTOP-I4PFC8A\AppData\Local\Temp

Ademas también he me dado cuenta que en la ubicación C:\ProgramData se van creando carpetas aleatorias constantemente.

Siguiendo un poco los pasos que se le han dado a otros usuarios, pero sin poner ninguna medida por mi cuenta, procedo a darte la información que creo que en un principio necesitas:

-Descargue y ejecute HiJackThis>I accept> Do a system scan only and save a log file y obtuve los siguientes datos:

Logfile of HiJackThis Fork by Alex Dragokas v.2.9.0.18

Platform:  x64 Windows 10 (Education), 10.0.17763.437 (ReleaseId: 1809), Service Pack: 0

Time:      24.04.2019 - 14:14 (UTC+02:00)

Language:  OS: Spanish (0xC0A). Display: Spanish (0xC0A). Non-Unicode: Spanish (0xC0A)

Elevated:  Yes

Ran by:    Álvaro (group: Administrator) on DESKTOP-I4PFC8A, FirstRun: yes

Chrome:  **.*.****.*03

Edge:    **.*.*****.*37

Internet Explorer: **.*.*****.1

Default: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "%1" (Google Chrome)

Boot mode: Normal

Running processes:

Number | Path

   1  C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\reader_sl.exe

   1  C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

   2  C:\Program Files (x86)\Google\Chrome Remote Desktop\**.*.****.56\remoting_host.exe

  19  C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

   1  C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe

   1  C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

   1  C:\Program Files (x86)\MSI\Dragon Center\Dragon Center.exe

   1  C:\Program Files (x86)\NVIDIA Corporation\NvNode\NVIDIA Web Helper.exe

   1  C:\Program Files (x86)\National Instruments\MAX\nimxs.exe

   1  C:\Program Files (x86)\National Instruments\Shared\NI Network Discovery\niDiscSvc.exe

   1  C:\Program Files (x86)\National Instruments\Shared\NI WebServer\ApplicationWebServer.exe

   5  C:\Program Files (x86)\National Instruments\Shared\NI WebServer\NIWebServiceContainer.exe

   1  C:\Program Files (x86)\National Instruments\Shared\NI WebServer\SystemWebServer.exe

   1  C:\Program Files (x86)\National Instruments\Shared\NI-VISA\niLxiDiscovery.exe

   1  C:\Program Files (x86)\National Instruments\Shared\Security\nidmsrv.exe

   1  C:\Program Files (x86)\National Instruments\Shared\Tagger\tagsrv.exe

   1  C:\Program Files (x86)\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe

   1  C:\Program Files (x86)\National Instruments\Shared\niauth\niauth_daemon.exe

   1  C:\Program Files (x86)\National Instruments\Shared\nisvcloc\nisvcloc.exe

   1  C:\Program Files (x86)\Origin\OriginWebHelperService.exe

   1  C:\Program Files (x86)\Wondershare\WAF\*.*.*.**2\WsAppService.exe

   1  C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

   1  C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe

   1  C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

   1  C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe

   1  C:\Program Files\Intel\WiFi\bin\EvtEng.exe

   1  C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe

   1  C:\Program Files\Logitech Gaming Software\Drivers\APOService\LogiRegistryService.exe

   1  C:\Program Files\Logitech Gaming Software\LCore.exe

   2  C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe

   3  C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA Share.exe

   3  C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe

   1  C:\Program Files\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe

   1  C:\Program Files\NVIDIA Corporation\ShadowPlay\nvsphelper64.exe

   1  C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe

   1  C:\Program Files\WindowsApps\Microsoft.WindowsStore_*****.****.*.0_x64__8wekyb3d8bbwe\WinStore.App.exe

   1  C:\Program Files\WindowsApps\Microsoft.ZuneVideo_**.*****.*****.0_x64__8wekyb3d8bbwe\Video.UI.exe

   1  C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.11425.20190.0_x64__8wekyb3d8bbwe\HxOutlook.exe

   1  C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.11425.20190.0_x64__8wekyb3d8bbwe\HxTsr.exe

   1  C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1904.1-0\MsMpEng.exe

   1  C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1904.1-0\NisSrv.exe

   1  C:\Users\Álvaro.DESKTOP-I4PFC8A\Desktop\HiJackThis.exe

   1  C:\Windows\ImmersiveControlPanel\SystemSettings.exe

   1  C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe

   1  C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe

   1  C:\Windows\SysWOW64\MSIService.exe

   1  C:\Windows\SysWOW64\lkads.exe

   1  C:\Windows\SysWOW64\lkcitdl.exe

   1  C:\Windows\SysWOW64\lktsrv.exe

   1  C:\Windows\SysWOW64\nipxism.exe

   1  C:\Windows\System32\ApplicationFrameHost.exe

   1  C:\Windows\System32\DriverStore\FileRepository\igdlh64.inf_amd64_2e329e8610bbb375\IntelCpHDCPSvc.exe

   1  C:\Windows\System32\DriverStore\FileRepository\igdlh64.inf_amd64_2e329e8610bbb375\IntelCpHeciSvc.exe

   1  C:\Windows\System32\DriverStore\FileRepository\igdlh64.inf_amd64_2e329e8610bbb375\igfxCUIService.exe

   1  C:\Windows\System32\DriverStore\FileRepository\igdlh64.inf_amd64_2e329e8610bbb375\igfxEM.exe

   7  C:\Windows\System32\RuntimeBroker.exe

   1  C:\Windows\System32\SearchIndexer.exe

   1  C:\Windows\System32\SecurityHealthService.exe

   1  C:\Windows\System32\SecurityHealthSystray.exe

   1  C:\Windows\System32\SettingSyncHost.exe

   1  C:\Windows\System32\SgrmBroker.exe

   1  C:\Windows\System32\SynTPEnh.exe

   1  C:\Windows\System32\SynTPEnhService.exe

   1  C:\Windows\System32\SynTPHelper.exe

   1  C:\Windows\System32\WUDFHost.exe

   1  C:\Windows\System32\WWAHost.exe

   1  C:\Windows\System32\audiodg.exe

   3  C:\Windows\System32\conhost.exe

   2  C:\Windows\System32\csrss.exe

   1  C:\Windows\System32\ctfmon.exe

   1  C:\Windows\System32\dasHost.exe

   2  C:\Windows\System32\dllhost.exe

   1  C:\Windows\System32\drivers\RivetNetworks\Killer\KillerNetworkService.exe

   1  C:\Windows\System32\drivers\RivetNetworks\Killer\xTendUtility.exe

   1  C:\Windows\System32\drivers\RivetNetworks\Killer\xTendUtilityService.exe

   1  C:\Windows\System32\dwm.exe

   2  C:\Windows\System32\fontdrvhost.exe

   1  C:\Windows\System32\ibtsiva.exe

   1  C:\Windows\System32\lsass.exe

   1  C:\Windows\System32\services.exe

   1  C:\Windows\System32\sihost.exe

   1  C:\Windows\System32\smartscreen.exe

   1  C:\Windows\System32\smss.exe

   1  C:\Windows\System32\spoolsv.exe

  80  C:\Windows\System32\svchost.exe

   1  C:\Windows\System32\taskhostw.exe

   1  C:\Windows\System32\wbem\WmiPrvSE.exe

   1  C:\Windows\System32\wbem\unsecapp.exe

   1  C:\Windows\System32\wininit.exe

   1  C:\Windows\System32\winlogon.exe

   1  C:\Windows\System32\wlanext.exe

   1  C:\Windows\SystemApps\InputApp_cw5n1h2txyewy\WindowsInternal.ComposableShell.Experiences.TextInput.InputApp.exe

   1  C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe

   1  C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe

   1  C:\Windows\explorer.exe

   1  D:\Programas\Dell u2417h\Dell Display Manager\ddm.exe

   1  D:\Programas\Quartus\quartus\bin64\jtagserver.exe

O2 - HKLM..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre-10\bin\jp2ssv.dll

O2 - HKLM..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre-10\bin\ssv.dll (file missing)

O2-32 - HKLM..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_161\bin\jp2ssv.dll

O2-32 - HKLM..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_161\bin\ssv.dll

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dell Display Manager.lnk    ->    D:\Programas\Dell u2417h\Dell Display Manager\ddm.exe

O4 - HKCU..\RunOnce: [5c0dea552] = C:\ProgramData\HENDqDnx\5c0dea55.exe C:\ProgramData\HENDqDnx\5c0dea55test.au3

O4 - HKCU..\RunOnce: [5c0dea55] = C:\ProgramData\5c0dea55\5c0dea55.exe C:\ProgramData\5c0dea55\5c0dea55test.au3 (file missing)

O4 - HKLM..\Run: [IAStorIcon] = C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60

O4 - HKLM..\Run: [Launch LCore] = C:\Program Files\Logitech Gaming Software\LCore.exe /minimized

O4 - HKLM..\Run: [RTHDVCPL] = C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s

O4 - HKLM..\Run: [SecurityHealth] = C:\WINDOWS\system32\SecurityHealthSystray.exe

O4 - HKLM..\StartupApproved\Run: [Cm108BSound] = C:\Program Files\BG Xonar X6\CPL\FaceLift_x64.exe /h /d (2018/09/14)

O4 - HKLM..\StartupApproved\Run: [Nahimic2UILauncher] = C:\Program Files\Nahimic\Nahimic2\UserInterface\Nahimic2UILauncher.exe /noUI (2018/04/13)

O4 - HKLM..\StartupApproved\StartupFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\NI Error Reporting (64-bit).lnk    ->    C:\Program Files (x86)\National Instruments\Shared\NI Error Reporting\nierserver.exe (2018/09/14)

O4 - HKLM..\StartupApproved\StartupFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\NI Error Reporting.lnk    ->    C:\Program Files (x86)\National Instruments\Shared\NI Error Reporting\nierserver.exe (2018/09/14)

O4 - Startup other users: C:\Users\Álvaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\45c0dea5541b2f4b217a4fe0f95729a8.lnk    ->    C:\DESKTOP-I4PFC8A\bqgoeoxkuj.exe test.au3

O15 - Trusted Zone: https://upvedues-files.sharepoint.com

O15 - Trusted Zone: https://upvedues-myfiles.sharepoint.com

O17 - DHCP DNS 1: ***.***.***.4

O17 - DHCP DNS 2: **.**.**.**4

O22 - Task (.job): MATLAB R2017b Startup Accelerator.job - D:\Programas\Matlab\bin\win64\MATLABStartupAccelerator.exe

O23 - Service R2: Adobe Acrobat Update Service - (AdobeARMservice) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service R2: Altera JTAG Server - (JTAGServer) - D:\Programas\Quartus\quartus\bin64\jtagserver.exe

O23 - Service R2: Intel Bluetooth Service - (ibtsiva) - C:\WINDOWS\system32\ibtsiva.exe

O23 - Service R2: Intel(R) Content Protection HDCP Service - (cplspcon) - C:\WINDOWS\System32\DriverStore\FileRepository\igdlh64.inf_amd64_2e329e8610bbb375\IntelCpHDCPSvc.exe

O23 - Service R2: Intel(R) Dynamic Application Loader Host Interface Service - (jhi_service) - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe

O23 - Service R2: Intel(R) HD Graphics Control Panel Service - (igfxCUIService2.0.0.0) - C:\WINDOWS\System32\DriverStore\FileRepository\igdlh64.inf_amd64_2e329e8610bbb375\igfxCUIService.exe

O23 - Service R2: Intel(R) Management and Security Application Local Management Service - (LMS) - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

O23 - Service R2: Intel(R) PROSet/Wireless Event Log - (EvtEng) - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service R2: Intel(R) PROSet/Wireless Registry Service - (RegSrvc) - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service R2: Intel(R) PROSet/Wireless Zero Configuration Service - (ZeroConfigService) - C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe

O23 - Service R2: Intel(R) Rapid Storage Technology - (IAStorDataMgrSvc) - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe

O23 - Service R2: Killer Network Service - C:\WINDOWS\System32\drivers\RivetNetworks\Killer\KillerNetworkService.exe

O23 - Service R2: Logitech Gaming Registry Service - (LogiRegistryService) - C:\Program Files\Logitech Gaming Software\Drivers\APOService\LogiRegistryService.exe

O23 - Service R2: Micro Star SCM - C:\WINDOWS\SysWOW64\MSIService.exe

O23 - Service R2: NI Application Web Server - (NIApplicationWebServer) - C:\Program Files (x86)\National Instruments\Shared\NI WebServer\ApplicationWebServer.exe -user

O23 - Service R2: NI Authentication Service - (niauth) - C:\Program Files (x86)\National Instruments\Shared\niauth\niauth_daemon.exe -start

O23 - Service R2: NI Citadel 4 Service - (LkCitadelServer) - C:\WINDOWS\SysWOW64\lkcitdl.exe

O23 - Service R2: NI Configuration Manager - (mxssvr) - C:\Program Files (x86)\National Instruments\MAX\nimxs.exe

O23 - Service R2: NI Domain Service - (NIDomainService) - C:\Program Files (x86)\National Instruments\Shared\Security\nidmsrv.exe

O23 - Service R2: NI LXI Discovery Service - (niLXIDiscovery) - C:\Program Files (x86)\National Instruments\Shared\NI-VISA\niLxiDiscovery.exe

O23 - Service R2: NI Network Discovery - (NINetworkDiscovery) - C:\Program Files (x86)\National Instruments\Shared\NI Network Discovery\niDiscSvc.exe

O23 - Service R2: NI PSP Service Locator - (lkClassAds) - C:\WINDOWS\SysWOW64\lkads.exe

O23 - Service R2: NI PXI Resource Manager - (nipxirmu) - C:\WINDOWS\SysWOW64\nipxism.exe

O23 - Service R2: NI Service Locator - (NiSvcLoc) - C:\Program Files (x86)\National Instruments\Shared\niSvcLoc\nisvcloc.exe Files (x86)\National Instruments\Shared\niSvcLoc\nisvcloc.exe -s

O23 - Service R2: NI System Web Server - (NISystemWebServer) - C:\Program Files (x86)\National Instruments\Shared\NI WebServer\SystemWebServer.exe -system

O23 - Service R2: NI Time Synchronization - (lkTimeSync) - C:\WINDOWS\SysWOW64\lktsrv.exe

O23 - Service R2: NI Variable Engine - (NITaggerService) - C:\Program Files (x86)\National Instruments\Shared\Tagger\tagsrv.exe

O23 - Service R2: NI mDNS Responder Service - (nimDNSResponder) - C:\Program Files (x86)\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe

O23 - Service R2: NVIDIA Display Container LS - (NVDisplay.ContainerLocalSystem) - C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem" -r -p 30000 

O23 - Service R2: NVIDIA LocalSystem Container - (NvContainerLocalSystem) - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -s NvContainerLocalSystem -f "C:\ProgramData\NVIDIA\NvContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\NvContainer\plugins\LocalSystem" -r -p 30000 -st "C:\Program Files\NVIDIA Corporation\NvContainer\NvContainerTelemetryApi.dll"

O23 - Service R2: NVIDIA Telemetry Container - (NvTelemetryContainer) - C:\Program Files\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe -s NvTelemetryContainer -f "C:\ProgramData\NVIDIA\NvTelemetryContainer.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\NvTelemetry\plugins" -r

O23 - Service R2: Origin Web Helper Service - C:\Program Files (x86)\Origin\OriginWebHelperService.exe

O23 - Service R2: Servicio Hacer clic y ejecutar de Microsoft Office - (ClickToRunSvc) - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe /service

O23 - Service R2: Servicio de Escritorio Remoto de Chrome - (chromoting) - C:\Program Files (x86)\Google\Chrome Remote Desktop\**.*.****.*6\remoting_host.exe --type=daemon --host-config="C:\ProgramData\Google\Chrome Remote Desktop\host.json"

O23 - Service R2: SynTPEnhService - C:\WINDOWS\System32\SynTPEnhService.exe

O23 - Service R2: Wondershare Application Framework Service - (WsAppService) - C:\Program Files (x86)\Wondershare\WAF\*.*.*.**2\WsAppService.exe

O23 - Service R2: xTendUtilityService - C:\WINDOWS\System32\drivers\RivetNetworks\Killer\xTendUtilityService.exe

O23 - Service R3: Intel(R) Content Protection HECI Service - (cphs) - C:\WINDOWS\System32\DriverStore\FileRepository\igdlh64.inf_amd64_2e329e8610bbb375\IntelCpHeciSvc.exe

O23 - Service S2: Servicio de Google Update (gupdate) - (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /svc

O23 - Service S2: xTendSoftAPService - C:\WINDOWS\System32\drivers\RivetNetworks\Killer\xTendSoftAPService.exe

O23 - Service S3: BattlEye Service - (BEService) - C:\Program Files (x86)\Common Files\BattlEye\BEService.exe

O23 - Service S3: EasyAntiCheat - C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe

O23 - Service S3: Evolve Service - (EvoSvc) - D:\Programas\Evolve\EvoSvc.exe -service -logfile "C:\ProgramData\Echobit\Evolve\EvoSvc.log"

O23 - Service S3: Google Chrome Elevation Service - (GoogleChromeElevationService) - C:\Program Files (x86)\Google\Chrome\Application\73.0.3683.103\elevation_service.exe

O23 - Service S3: Intel(R) Capability Licensing Service TCP IP Interface - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe

O23 - Service S3: NI-RIO Server - (NiRioRpc) - C:\WINDOWS\SysWOW64\NiRioRpc.exe

O23 - Service S3: NVIDIA NetworkService Container - (NvContainerNetworkService) - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -s NvContainerNetworkService -f "C:\ProgramData\NVIDIA\NvContainerNetworkService.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\NvContainer\plugins\NetworkService" -r -p 30000 -st "C:\Program Files\NVIDIA Corporation\NvContainer\NvContainerTelemetryApi.dll"

O23 - Service S3: OpcEnum - C:\WINDOWS\SysWOW64\Opcenum.exe

O23 - Service S3: Origin Client Service - C:\Program Files (x86)\Origin\OriginClientService.exe

O23 - Service S3: Servicio de Google Update (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc

O23 - Service S3: Steam Client Service - C:\Program Files (x86)\Common Files\Steam\SteamService.exe /RunAsService

O23 - Service S3: Wireless PAN DHCP Server - (MyWiFiDHCPDNS) - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe

O26 - Debugger: HKLM..\CE i386.exe: [Debugger] = Enable (file missing)

O26 - Debugger: HKLM..\Cheat Engine.exe: [Debugger] = Enable (file missing)

O26 - Debugger: HKLM..\ce-x64.exe: [Debugger] = Enable (file missing)

O26 - Debugger: HKLM..\cheatengine-i386.exe: [Debugger] = Enable (file missing)

O26 - Debugger: HKLM..\cheatengine-x86_64.exe: [Debugger] = Enable (file missing)

--

End of file - Time spent: 19,9 sec. - 35758 bytes, CRC32: FFFFFFFF. Sign: ┳䨗

- He descargado en el escritorio el programa Farbar Recovery Scan Tool

- He descargado en el escritorio el programa Delfix

Muchas gracias por el tiempo dedicado, estoy deseando solucionar esto de una vez.

Nota del Moderador de foro*:*

Se realiza moderación de información personal en foros públicos según el código de conducta:Precauciones para usuarios de la comunidad.

Windows para el hogar | Windows 10 | Seguridad y privacidad

Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta.

0 comentarios

Respuesta aceptada por el autor de la pregunta

  1. Anónimas
    2019-04-24T15:27:19+00:00

    Ese mensaje que le aparece no suele ser habitual que apareza. Pocos usuarios lo han reportado en foros especializados (y ninguno me lo ha reportado por aquí), pero puede aparecer si se tiene activada esa característica de seguridad SmartScreen en Windows Defender.

    Veo que tiene una versión Windows 10 Education, por lo que quizás también pueda saltar ese aviso en esa determinada versión y no en otras. No obstante, haré pruebas luego por si hubiese algún problema de firmas en la aplicación, y al yo no tener activada esa opción de seguridad se me haya pasado y nadie me lo haya notificado hasta ahora. Le agradezco la información para tenerlo en cuenta.

    La seguridad de SmartScreen puede desactivarse en momentos puntuales si se requiere (si estamos seguros de que el archivo procede de una fuente fiable), siguiendo el siguiente paso: 

    Si abre Windows Defender (doble clic sobre su icono de la barra de táreas), observará una sección denominada "Control de aplicaciones y navegador". Si desactiva dicha opción, no debería aparecer ningún mensaje más sobre el programa. De cualquier forma, es aconsejable volver a activarla.

    La versión del malware AutoIT que afectó a su sistema es probablemente la más agresiva. Además, de crear las carpetas con nombre aleatorio en *C:* y en C:\ProgramData, también ha creado un archivo de acceso directo .lnk al inicio del sistema para llamar a un archivo ejecutable ubicado en la carpeta *C:\DESKTOP-I4PFC8A* que se encuentra oculta. Además, ha estado efectuando alguna operación en la carpeta

    C:\Users\Álvaro.DESKTOP-I4PFC8A\AppData\Roaming*ea98f3e22568ace29f2b425e1787bb28*

    Probablemente, tenga algún archivo .txt que haya guardado lo tecleado por usted en algunas de las carpetas citadas (aunque también es posible que no haya utilizado esa funcionalidad de guardar lo tecleado).

    Bueno, vamos a lo importante que es dar los últimos pasos para eliminar definitivamente el malware AutoIT del sistema.

    1) Realice una copia de seguridad del registro:

    • Para hacerlo descargue >> DelFix en su escritorio.
      • Doble clic para ejecutarlo.
      • Marque unicamente la casilla "Create registry backup".
    • Haga clic en el botón Run.

    Se abrirá el informe (DelFix.txt), guárdelo por si fuera necesario y cierre la herramienta.

    2) Descargue el archivo fixlist.txt (que le he subido a Google Drive) en el ESCRITORIO del sistema. Para ello debe hacer clic en la flechita de descarga situada en la parte derecha del menú superior.

    Es necesario que tanto el ejecutable del programa Frst.exe como el archivo fixlist.txt que le he subido, se encuentren en la misma ubicación (ESCRITORIO) o de lo contrario la herram ienta no trabajará.

    • Ejecute Frst.exe.
    • Haga clic en el botón Fix y espere a que finalice el proceso.
    • La Herramienta guardará el reporte en su escritorio (con el nombre de Fixlog.txt).

    Reinicie o apague el equipo.

    3) Ahora quiero que compruebe una cosa:

    Revise el directorio C:\ProgramData y la raíz de *C:* y busque si dentro de éstos hay carpetas creadas con nombres aleatorios. Es posible que haya alguna debido a que el malware está continuamente creándolas y cambiándolas de nombre. Por favor, si encuentra alguna carpeta con nombre aleatorio elimínela manualmente. Asegúrese antes de que o bien estas carpetas se encuentren vacías o que tengan archivos en su interior del tipo .au3, test.au3 o incluso .exe con nombre aleatorio. También podría ser que estas carpetas con nombre aleatorio estuviesen vacías.

    Nota: Si no encuentra el directorio ProgramData es porque lo tendrá oculto. Puede visualizarlo, siguiendo las instrucciones que encontrará en cualquiera de estos enlaces:Ver archivos ocultos en Windows 10

    Mostrar archivos ocultos

    Un saludo.

    1 persona ha encontrado útil esta respuesta.
    0 comentarios

10 respuestas adicionales

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Anónimas
    2019-04-24T17:34:29+00:00

    Hola, Álvaro:

    • La explicación que le ofrecí anteriormente a la solución práctica, era por si usted quería comprobar lo que ibamos a eliminar. La herramienta Farbar cierra todos los procesos en uso relacionados con el malware, y elimina los archivos, carpetas y entradas del registro creadas por AutoIT. Así que por eso, ya no encuentra las carpetas, archivos y entradas que le hemos pedido que elimine.
    • En la imagen que me manda del directorio *C:\ProgramData* está todo correcto. No hay nada más extraño.
    • Realmente los datos que recopila el malware AutoIT, no tengo constancia de que hayan sido utilizados por los creadores para cometer delitos o para acceder a ellos. No obstante, si usted lo ve conveniente (y yo personalmente por simple seguridad lo haría), trataría de cambiarlos.

    El informe de Farbar en el archivo Addition.txt, tiene una sección denominada Alternate Data Streams (Whitelisted), que puede indicar flujos de datos utilizado por los malwares para enviar/recibir información ocultándoselo al usuario.

    Si lo desea puede eliminar estos flujos de datos también con Farbar, descargando el siguiente archivo, y siguiendo el mismo procedimiento que le indiqué en el paso 2 de mi última respuesta:

    fixlist.txt

    La verdad es que entiendo perfectamente su preocupación, y esa sensación de vulnerabilidad que uno siente al ver que sus datos se han podido ver comprometidos.

    • En cuanto al problema que le ha surgido con Chrome, realmente no hemos tocado nada relacionado con ninguno de los navegadores directamente. He estado revisando las extensiones/complementos que tiene instalados y lo único que coindice con algún dato que le aparece en esa pantalla, es la extensión/complemento de Flash Video Downloader.
    • Por lo demás, no he encontrado nada más sospechoso con relación a malware/virus.

    Esperaré a su próxima respuesta, por si tiene algo que comentarme y le indicaré el proceso que debe dar para eliminar las copias de los elementos que hemos eliminado relacionados con el malware.

    Un saludo.

    0 comentarios
  2. Anónimas
    2019-04-24T16:24:59+00:00

    Carpetas eliminadas manualmente de C:\ProgramData:

    xJOTCJKfl       (estaba vacía)

    hLenkxFJ        (contenía los archivos: 5c0dea55.exe, 5c0dea55test.au3, PE.bin, shell.txt, esta ultima shell contenía caracteres raros)

    cwOGpxh       (estaba vacía)

    Te adjunto pantallazo de las capturas que quedan por si ves alguna actividad rara:

    Efectivamente, acabo de ver la carpeta C:\Users\Álvaro.DESKTOP-I4PFC8A\AppData\Roaming\ea98f3e22568ace29f2b425e1787bb28 con varios archivos de texto con información personal (usuarios y contraseñas, etc...). También elimino esta carpeta completamente?

    Dicha carpeta también incluía una subcarpeta llamada "miner" y dentro el siguiente archivo "xmr10.bin".

    Menudo mal cuerpo se me ha quedado al ver toda mi información ahí...se han enviado esos datos a los creadores del malware? Debería cambiar las contraseñas de nuevo?

    Otra cosa que quería comentar es que en los procesos anclados al inicio, es curioso que no me aparecía nada relacionado con AutoIT como he visto que reportan otros usuarios.

    Tras reiniciar el ordenador, he comprobado que en programdata ya no se van cambiando de nombre algunas carpetas constantemente y que una carpeta oculta en la raiz de C:\ llamada C:\DESKTOP-I4PFC8A ya no existe. Tampoco existe el archivo systeminfo.exe en la carpeta C:\Users\Álvaro.DESKTOP-I4PFC8A\AppData\Local\Temp que comente al principio.

    Al encender de nuevo el ordenador, en chrome se me ha abierto esta pagina automáticamente, cosa que nunca me había pasado:

    También quería preguntarte, si has visto alguna cosa mas que sea rara o que pueda estar vulnerando la seguridad de mi ordenador, la verdad es que lo agradecería mucho.

    0 comentarios
  3. Anónimas
    2019-04-24T14:07:05+00:00

    Muchísimas gracias por la respuesta, en primer lugar aquí esta el enlace a los 2 archivos que pides:

    Archivos

    En segundo lugar, quería informarte del aviso que sale al ejecutar FRST64.exe:

    Yo me fío de vosotros, lo digo para que lo tengáis en cuenta por si a alguno le genera desconfianza que le salga ese aviso. 

    Por otro lado, el primer archivo que dices que marque había cambiado el nombre de una de las carpetas, supongo que es normal por lo de la creación aleatoria que cambia constantemente de nombre.

    Gracias por la ayuda!!

    0 comentarios
  4. Anónimas
    2019-04-24T13:43:32+00:00

    Hola, Álvaro:

    Antes de nada indicarle que no todas las versiones de este malware recopilan lo tecleado por el usuario en un archivo de texto. Lo del minado, pues efectivamente tal y como usted comenta, lo realizan todas las versiones y es el proceso que hace consumir todos los recursos del sistema.

    Vamos a empezar a eliminar el malware. Por favor, siga los siguientes pasos:

    1) Abra el programa HiJackThis, seleccionando la opción: Do a system scan only.

    A continuación, marque las siguientes entradas, utilizando las casillas de verificación que aparecen a la izquierda de cada una de ellas:

    O4 - HKCU..\RunOnce: [5c0dea552] = C:\ProgramData\HENDqDnx\5c0dea55.exe C:\ProgramData\HENDqDnx\5c0dea55test.au3

    O4 - HKCU..\RunOnce: [5c0dea55] = C:\ProgramData\5c0dea55\5c0dea55.exe C:\ProgramData\5c0dea55\5c0dea55test.au3 (file missing)

    Una vez marcadas esas entradas, haga clic en el botón Fix checked. Cierre el programa.

    2) El siguiente programa que deberemos utilizar es Farbar Recovery Scan Tool

    Farbar Recovery Scan Tool tiene dos versiones (32 bits o 64 bits). Descargue la versión correspondiente a la arquitectura del sistema que esté utilizando.

    • Ejecute Farbar Recovery Scan Tool: **FRST.exe.**Es recomendable que la herramienta sea ejecutada desde el escritorio.
    • En el mensaje de la ventana del Disclaimer, debe hacer clic en el botón Yes.
    • En la ventana principal, debe marcar las casillas de verificación "Registry", "Services", "Drivers", "Processes" e "Internet". Además, DEBE ASEGURARSE de marcar la casilla de verificación "Addition.txt". Haga clic en el botón Scan y espere a que concluya el análisis.

    ![](https://learn-attachment.microsoft.com/api/attachments/1d0b6594-ad0b-4edb-a532-0a3212cedb57?platform=QnA)

    • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en la misma ubicación donde está ejecutando la herramienta.
    • Ahora con esos dos archivos logs tiene varias opciones: 1) Subir los dos archivos a Google Drive si dispone de una cuenta de correo de Gmail: Google Drive 2) Subir los dos archivos a OneDrive si dispone de una cuenta de correo de Outlook/Hotmail: OneDrive 3) Subir los dos archivos a sendspace haciendo clic en el botón Browse y luego en Upload: sendspace 4) Pegar el contenido completo de los dos archivos en la web de Pastebin, haciendo clic en el botón Create New Paste: Pastebin

    Vuelva a respondernos con los enlaces a esos dos archivos y los reviso.

    Un saludo.

    0 comentarios