Compartir a través de

Windows 10/ Como eliminar AutoIT v3 Script (Beta) de mi PC

Anónimas
2020-03-18T13:31:20+00:00

Hola, tengo un problema sobre como eliminar el AutoIT v3 Script (Beta), al buscar por Internet vi que en este foro mucha gente ha conseguido solucionar el mismo problema, así que quería preguntarles a ustedes a ver si me pueden ayudar.

Resulta que al entrar a administrador de****tareas y al apartado inicio, durante algunos segundos me pone que se estaba ejecutando un programa llamado AutoIT v3 Script (Beta), pero al pasar un par de segundos este programa desaparece de la pestaña de inicio y tampoco lo encuentro en el administrador de tareas, se muestra sobre todo cuando enciendo el equipo o cuando estoy jugando a un juego en esté. Es por esto por lo que estuve buscando por Internet ya que no sabía que estaba pasando y encontré este enlace a una pregunta formulada en este foro: 

https://answers.microsoft.com/es-es/protect/forum/all/windows-10-eliminar-virus-autoit-v3-script/7db682f3-627f-46e7-a491-3acdbed08e47

Se parece mucho a mi caso ya que en esta dirección de mi pc "C:\ProgramData\Intel\Wireless\1f29555" se encuentra un archivo llamado baidagf.exe con el mismo símbolo que el de AutoIT. Llegados a este punto no sé qué hacer a continuación, por lo que quería preguntarles cuales serían los pasos que tengo que realizar en mi caso, para poder eliminar por completo el virus.

Ojalá puedan ayudarme. Muchas gracias de antemano.

Windows para el hogar | Windows 10 | Seguridad y privacidad

Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta.

0 comentarios
Respuesta aceptada por el autor de la pregunta
  1. Anónimas
    2020-03-20T17:55:06+00:00

    Hola, Tamara:

    En muchas ocasiones al haber utilizado anti-malwares automáticos, lo que ocurre es que se pierden datos que la herramienta Farbar probablemente hubiese podido indicarnos. Al haber intentado eliminar el proceso principal del malware, la herramienta Farbar puede llegar a perder esa información que la relaciona con las otras carpetas que vuelve a autocrear el malware AutoIT.

    En cuanto a la última respuesta que me ha ofrecido, la verdad es que por esos nombres que tienen, yo diría que pertenecen al malware AutoIT.

    ¿En las otras ubicaciones que le indiqué encontró alguna carpeta con nombre aleatorio?. Me refiero a dentro de *C:* y dentro de *C:\ProgramData*

    Por favor, compruebe una última cosa:

    • En la barra "Búsqueda en Windows" o "Escribe aquí para buscar", teclee o copie y pegue el siguiente comando:

    regedit

    Seleccione la opción que aparecerá como resultado con el botón derecho del ratón y escoja la opción "Ejecutar como administrador"

    Una vez abierto el editor del registro, navegue hasta la siguiente rama:

    Equipo\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    Le recuerdo que si tiene Windows 10 actualizado, puede directamente copiar y pegar toda esa ruta que le he indicado en la barra superior del editor del registro.

    En la columna derecha, quiero que revise que no tenga ninguna entrada del registro relacionada con el malware AutoIT.

    Esto lo puede más o menos intuir porque el malware AutoIT utiliza nombres aleatorios sin sentido como los que usted nos indicó anteriormente: 1f29555, 13f9a6c753b444, 45526e7

    Lógicamente, podría ser que la entrada creada por el malware AutoIT, no tenga ninguno de esos nombres que nos indicó, pero lo que sí está claro es que tendrá un nombre sin sentido con caracteres aleatorios.

    Si encuentra una entrada del registro con nombre aleatorio, es más que recomendable que antes de hacer nada con ella, como por ejemplo eliminarla, compruebe bajo la columna derecha del registro llamada Datos a qué ubicación hace referencia esa entrada, para así saber donde se aloja el proceso principal del malware AutoIT.

    Una vez tenga la información aportada por la columna Datos, puede hacerlo indicarmela en su siguiente respuesta.

    Vuelva a dar los mismos pasos que le he comentado en este primer paso en busca de entradas creadas por el malware AutoIT, pero revisando estas otras cuatro o cinco ramas del registro que le indico a continuación. Recuerde revisar la columna Datos para saber desde que carpeta o archivo se está haciendo referencia:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32

    <-- esta entrada puede no existir

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder

    Un saludo.

    10+ personas han encontrado útil esta respuesta.
    0 comentarios
Respuesta aceptada por el autor de la pregunta
  1. Anónimas
    2020-03-20T16:28:29+00:00

    Hola, Tamara:

    El informe proporcionado por Farbar no revela ninguna entrada relacionada con el malware AutoIT. También es muy importante ese detalle que usted indica, y es que el sistema no le va con la lentitud de antes, y eso indicaría que el malware AutoIT fue eliminado.

    Sin embargo, me gustaría que me indicara qué nombre tiene la carpeta con nombre extraño dentro de "Wireless", y qué archivos existen dentro de esa carpeta con nombre extraño. Con que me indique los nombres de esos archivos me serviría de ayua, aunque si me pudiera indicar también si algunos de esos archivos que existen en esa carpeta son un .exe junto con un .au3 se lo agradecería.

    También me gustaría que comprobara lo siguiente:

    - Revise el directorio raíz *C:* y compruebe si tiene alguna carpeta con nombre testIntel o testIntel2. Si es así, elimine estas carpetas manualmente.

    Revise además el directorio *C:\ProgramData* y compruebe si dentro de éste hay carpetas (solamente carpetas - no archivos individuales -) creadas con nombres aleatorios (nombres sin ningún tipo de sentido) que contengan en su interior algún archivo .au3, test.au3 junto con un archivo .exe con nombre aleatorio. También es posible que encuentre alguna carpeta con nombre aleatorio que esté vacía.

    Si encuentra alguna carpeta que cumpla con estas características, indíquemelo en su próxima respuesta.

    Nota: Si no puede visualizar el directorio *ProgramData*, siga las instruc ciones que encontrará en cualquiera de estos enlaces:Ver archivos ocultos en Windows 10

    Mostrar archivos ocultos

    Un saludo.

    6 personas han encontrado útil esta respuesta.
    0 comentarios
Respuesta aceptada por el autor de la pregunta
  1. Anónimas
    2020-03-20T22:30:42+00:00

    Hola, Tamara:

    ¡¡¡Perfecto!!!. Por fin pudo acabar con el malware AutoIT ^_^

    No es necesario que realice ninguna acción más que esté relacionada con este malware.

    Tampoco debemos utilizar la herramienta Farbar para corregir ninguna otra cosa, ya que tiene el sistema limpito y no hay ninguna entrada sospechosa ni que me llame la atención. Enhorabuena por ello porque no suele ser lo habitual.

    Me gustaría antes de despedirme, realizarle algunas otras observaciones y ofrecerle algunos consejos por si los quiere tener en cuenta:

    1) Dentro de C *:* encontará el directorio FRST.

    Este es un directorio creado por Farbar donde se mantienen algunas carpetas creadas por esta herramienta.

    Usted puede eliminarlar completamente el directorio FRST manualmente cuando quiera y lo crea conveniente.

    2) También me gustaría indicarle que normalmente este malware AutoIT se distribuye a través de webs con enlaces de descargas de archivos torrent, o bien descargando algún software de ese tipo de páginas que al ejecutarlo suele incluir de manera silenciosa y oculta a el usuario.

    Debe tener precaución, porque hay ciertas páginas que cuando se realiza un clic de descarga en un enlace de archivo torrent, se descarga un archivo con doble extensión o con una extensión distinta a la de .torrent.

    Así pues, debe asegurarse de nunca descargar archivos de enlaces a torrents con doble extensión o con una única extensión como los que siguen: .torrent.zip, .zip, vbs, .vbc o vbe

    Asegúrese por tanto, de que cuando haga clic en un enlace torrent y se abra el cuadro de diálogo que permite abrir o guardar el archivo, ese archivo tenga únicamente la extensión: .torrent

    Un saludo y que todo le vaya bien.

    3 personas han encontrado útil esta respuesta.
    0 comentarios
Respuesta aceptada por el autor de la pregunta
  1. Anónimas
    2020-03-20T22:01:09+00:00

    Hola, Tamara:

    Buen trabajo. Eso es lo que buscabamos.

    Haga lo siguiente:

    • En la imagen que me ha pasado, hay dos entradas que tiene que eliminar. Estas dos entradas como ya supondrá son las siguientes:

    8536f071

    d1a15a75

    Debe eliminarlas, haciendo clic con el botón derecho del ratón sobre ellas y seleccionando la opción Eliminar.

    • A continuación, diríjase a la carpeta Wireless y elimine las carpetas 1f29555, 13f9a6c, 753b444

    y 45526e7

    Una vez hecho esto, podría reiniciar o apagar y volver a iniciar el sistema y comprobar si se han creado nuevas carpetas en Wireless o ya no se han vuelto a crear.

    Un saludo.

    2 personas han encontrado útil esta respuesta.
    0 comentarios
Respuesta aceptada por el autor de la pregunta
  1. Anónimas
    2020-03-20T10:51:14+00:00

    Hola, Tamara:

    Antes de nada le pido de nuevo disculpas por tardar en responderle. Del mismo modo, también le deseo que en estos días tan duros y complicados todo vaya bien para usted y para sus seres queridos.

    Vamos al tema del malware AutoIT.

    Efectivamente tal como le expliqué, si no se elimina completamente todos los archivos y entradas del registro relacionados/as con el proceso principal del malware, éste vuelve a autoreproducirse.

    Vamos hacer un estudio del sistema con alguna herramienta de diagnóstico.

    Por favor, siga el siguiente paso:

    Farbar Recovery Scan Tool tiene dos versiones (32 bits o 64 bits). Descargue la versión correspondiente a la arquitectura del sistema que esté utilizando.  Si le aparece alguna advertencia de que este programa es peligroso/dañino, no se preocupe que es totalmente seguro. En caso de que el propio sistema no le permita utilizarlo, deberá deshabilitar temporalmente todas las características de seguridad Windows Defender.

    • Ejecute Farbar Recovery Scan Tool: **FRST.exe.**Es recomendable que la herramienta sea ejecutada desde el escritorio.
    • En el mensaje de la ventana de aceptar la exclusión de toda responsabilidad (disclaimer), debe hacer clic en el botón

    En la ventana principal, debe marcar (si no están marcadas ya por defecto) las casillas de verificación "Registro", "Servicios", "Controladores", "Procesos" e "Internet". Además, DEBE ASEGURARSE de marcar la casilla de verificación "Addition.txt" si no está marcada ya de manera predeterminada. Haga clic en el botón Analizar y espere a que concluya el análisis.

    • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en la misma ubicación donde está ejecutando la herramienta.
    • Ahora con esos dos archivos logs tiene varias opciones: 1) Subir los dos archivos a Google Drive si dispone de una cuenta de correo de Gmail: Google Drive 2) Subir los dos archivos a OneDrive si dispone de una cuenta de correo de Outlook/Hotmail: OneDrive 3) Subir los dos archivos a sendspace haciendo clic en el botón Browse y luego en Upload: sendspace 4) Pegar el contenido completo de los dos archivos en la web de Pastebin, haciendo clic en el botón Create New Paste: Pastebin

    Vuelva a respondernos con los enlaces a esos dos archivos y los reviso.

    Un saludo.

    2 personas han encontrado útil esta respuesta.
    0 comentarios

15 respuestas adicionales

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Anónimas
    2020-03-19T11:20:11+00:00

    Hola, Tamara y Dante:

    Perdonad que no apareciera por aquí antes, pero estoy con lios de familiares en el hospital.

    En principio, si MalwareBytes ha detectado la carpeta C:\ProgramData\Intel\Wireless\1f29555 y la entrada del registro relacionada con la misma que aparece en el Administrador de tareas (que en muchas ocasiones se enconde y no es visible), y ha logrado eliminarlas y no han vuelto a aparecer, con casi toda probabilidad habrá logrado acabar con el proceso principal del malware.

    Es posible que queden copias de este malware en otras ubicaciones del sistema, pero podrían estar inactivas. El proceso principal hace uso de estas copias para autoreproducirse, en caso de que el usuario no elimine tanto la carpeta principal como la entrada del registro del proceso principal al mismo tiempo. Si algunas de las dos cosas no es eliminada, el malware vuelve a tener vida.

    Podríamos realizar una análisis del sistema con alguna herramienta de diagnóstico, o realizar ciertas comprobaciones manualmente.

    Por favor, indíqueme en su próxima respuesta, si sigue notando lentitud en el equipo, o puede ver el proceso relacionado con AutoIT en el Administrador de tareas. También puede indicarme en su próxima respuesta, si desea realizar algún tipo de comprobación avanzada para quedarse tranquila.

    Un saludo.

    1 persona ha encontrado útil esta respuesta.
    0 comentarios