Infección autoit por skypee ??
redsky1531
Mensajes publicados
21
Estado
Miembro
-
Malekal_morte- Mensajes publicados 178136 Fecha de registro Estado Moderador, Colaborador de seguridad Última intervención -
Malekal_morte- Mensajes publicados 178136 Fecha de registro Estado Moderador, Colaborador de seguridad Última intervención -
Hola,
me dirijo a su experiencia para encontrar una solución a mi problema
en la computadora de un amigo hay una ventana de ejecutar script para abrir archivos de AutoIt, esta ventana tiene el logo de AutoIt 3 y se ejecuta automáticamente en cada inicio
sospechando una infección de malware o virus, lanzo su antivirus "Avira", algunos elementos son detectados, los elimino, vuelvo a hacer un escaneo y todo está limpio, sin embargo, la ventana sigue abriéndose
utilizo AdwCleaner que detecta algunos elementos en el registro, hago una limpieza, pero eso no resuelve el problema de la ventana
de estos dos escaneos surge una carpeta llamada skypee donde hay AutoIt 3 y un archivo fuente eliminado por Avira
también paso por MBAM, pero este último se niega a ejecutarse, al abrirlo el programa se cierra "no se ejecuta ni en inicio mínimo ni en modo seguro"
como última medida realizo un escaneo con FRST y me dirijo a usted para obtener más detalles, esperando encontrar una solución
gracias de antemano por su ayuda
https://pjjoint.malekal.com/files.php?id=FRST_20160910_n9d12f8b7u6
https://pjjoint.malekal.com/files.php?id=20160910_n7x13p13d11g9
https://pjjoint.malekal.com/files.php?id=20160910_q9f9m7f14s13
Configuración: Windows 7 / Chrome 53.0.2785.101
me dirijo a su experiencia para encontrar una solución a mi problema
en la computadora de un amigo hay una ventana de ejecutar script para abrir archivos de AutoIt, esta ventana tiene el logo de AutoIt 3 y se ejecuta automáticamente en cada inicio
sospechando una infección de malware o virus, lanzo su antivirus "Avira", algunos elementos son detectados, los elimino, vuelvo a hacer un escaneo y todo está limpio, sin embargo, la ventana sigue abriéndose
utilizo AdwCleaner que detecta algunos elementos en el registro, hago una limpieza, pero eso no resuelve el problema de la ventana
de estos dos escaneos surge una carpeta llamada skypee donde hay AutoIt 3 y un archivo fuente eliminado por Avira
también paso por MBAM, pero este último se niega a ejecutarse, al abrirlo el programa se cierra "no se ejecuta ni en inicio mínimo ni en modo seguro"
como última medida realizo un escaneo con FRST y me dirijo a usted para obtener más detalles, esperando encontrar una solución
gracias de antemano por su ayuda
https://pjjoint.malekal.com/files.php?id=FRST_20160910_n9d12f8b7u6
https://pjjoint.malekal.com/files.php?id=20160910_n7x13p13d11g9
https://pjjoint.malekal.com/files.php?id=20160910_q9f9m7f14s13
Configuración: Windows 7 / Chrome 53.0.2785.101
6 respuestas
Hola,
Estoy revisando tus reportes =)
--
Por favor, presiona una tecla para continuar con la desinfección...
Estoy revisando tus reportes =)
--
Por favor, presiona una tecla para continuar con la desinfección...
No utilices una memoria USB por el momento.
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Abre el bloc de notas: Tecla de Windows + R,
En el campo "Ejecutar", escribe notepad y pulsa OK.
Copia/Pega en él lo siguiente:
Una vez que hayas pegado el texto en el Bloc de notas,
Menú "Archivo" y luego "Guardar como",
A la izquierda, coloca el mouse sobre el Escritorio,
En el campo de abajo, nombre del archivo pon: fixlist.txt
Haz clic en "Guardar", esto creará fixlist.txt en el Escritorio.
Reinicia FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario reiniciar (no obligatorio)
Apagará un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
--
Por favor, presiona una tecla para continuar con la desinfección...
Aquí está la corrección a realizar con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.
Abre el bloc de notas: Tecla de Windows + R,
En el campo "Ejecutar", escribe notepad y pulsa OK.
Copia/Pega en él lo siguiente:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\...\Run: [AdopeFlash] => C:\Google\AutoIt3.exe [750320 2012-01-29] (Equipo de AutoIt)
2016-09-10 13:32 - 2015-05-28 12:28 - 00000000 _RSHD C:\Skypee
2016-09-10 13:32 - 2015-05-28 12:27 - 00000000 _RSHD C:\Google
2016-09-09 20:25 - 2016-09-09 20:25 - 0000000 _____ () C:\Users\user\AppData\Local\{B7EFE336-9603-4F6E-8F4D-A343D057642E}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Una vez que hayas pegado el texto en el Bloc de notas,
Menú "Archivo" y luego "Guardar como",
A la izquierda, coloca el mouse sobre el Escritorio,
En el campo de abajo, nombre del archivo pon: fixlist.txt
Haz clic en "Guardar", esto creará fixlist.txt en el Escritorio.
Reinicia FRST y haz clic en el botón "Corregir / Fix"
Es posible que sea necesario reiniciar (no obligatorio)
Apagará un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.
Reinicia el ordenador.
--
Por favor, presiona una tecla para continuar con la desinfección...
gracias por tu respuesta y tu ayuda
bueno, respecto a la memoria USB, he puesto una "mi llave de desinfección con adwcl" que formateé después de escanear y ya no se abre ??!
después de aplicar el fixlist y reiniciar, ya no aparece la ventana de auto it al inicio, pero mbam todavía no se inicia, lo que me hace pensar que skypee no era la causa
en fin, aquí está el contenido del fix log
Resultados de corrección de Farbar Recovery Scan Tool (x86) Versión: 31-08-2016
Ejecutado por user (10-09-2016 21:52:24) Ejecución: 1
Ejecutado desde C:\Users\user\Desktop
Perfiles cargados: user (Perfiles disponibles: user)
Modo de arranque: Normal
==============================================
contenido de fixlist:
CrearPuntoDeRestauración:
CerrarProcesos:
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\...\Run: [AdopeFlash] => C:\Google\AutoIt3.exe [750320 2012-01-29] (AutoIt Team)
2016-09-10 13:32 - 2015-05-28 12:28 - 00000000 _RSHD C:\Skypee
2016-09-10 13:32 - 2015-05-28 12:27 - 00000000 _RSHD C:\Google
2016-09-09 20:25 - 2016-09-09 20:25 - 0000000 _____ () C:\Users\user\AppData\Local\{B7EFE336-9603-4F6E-8F4D-A343D057642E}
Hosts:
VaciarTemp:
EliminarProxy:
Reiniciar:
El Punto de restauración se creó con éxito.
Proceso cerrado con éxito.
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\Software\Microsoft\Windows\CurrentVersion\Run\\AdopeFlash => valor(es) eliminado(s) con éxito
C:\Skypee => movido(s) con éxito
C:\Google => movido(s) con éxito
C:\Users\user\AppData\Local\{B7EFE336-9603-4F6E-8F4D-A343D057642E} => movido(s) con éxito
"C:\Windows\System32\Drivers\etc\hosts" => No se pudo mover.
No se pudo restaurar Hosts.
========= EliminarProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor(es) eliminado(s) con éxito
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor(es) eliminado(s) con éxito
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor(es) eliminado(s) con éxito
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor(es) eliminado(s) con éxito
========= Fin de EliminarProxy: =========
=========== VaciarTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27211233 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 232674873 B
Edge => 0 B
Chrome => 217798596 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 166340 B
LocalService => 66775 B
NetworkService => 67785 B
user => 711337352 B
RecycleBin => 0 B
VaciarTemp: => 1.1 GB de datos temporales borrados.
================================
El sistema tuvo que reiniciar.
cordialmente
bueno, respecto a la memoria USB, he puesto una "mi llave de desinfección con adwcl" que formateé después de escanear y ya no se abre ??!
después de aplicar el fixlist y reiniciar, ya no aparece la ventana de auto it al inicio, pero mbam todavía no se inicia, lo que me hace pensar que skypee no era la causa
en fin, aquí está el contenido del fix log
Resultados de corrección de Farbar Recovery Scan Tool (x86) Versión: 31-08-2016
Ejecutado por user (10-09-2016 21:52:24) Ejecución: 1
Ejecutado desde C:\Users\user\Desktop
Perfiles cargados: user (Perfiles disponibles: user)
Modo de arranque: Normal
==============================================
contenido de fixlist:
CrearPuntoDeRestauración:
CerrarProcesos:
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\...\Run: [AdopeFlash] => C:\Google\AutoIt3.exe [750320 2012-01-29] (AutoIt Team)
2016-09-10 13:32 - 2015-05-28 12:28 - 00000000 _RSHD C:\Skypee
2016-09-10 13:32 - 2015-05-28 12:27 - 00000000 _RSHD C:\Google
2016-09-09 20:25 - 2016-09-09 20:25 - 0000000 _____ () C:\Users\user\AppData\Local\{B7EFE336-9603-4F6E-8F4D-A343D057642E}
Hosts:
VaciarTemp:
EliminarProxy:
Reiniciar:
El Punto de restauración se creó con éxito.
Proceso cerrado con éxito.
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\Software\Microsoft\Windows\CurrentVersion\Run\\AdopeFlash => valor(es) eliminado(s) con éxito
C:\Skypee => movido(s) con éxito
C:\Google => movido(s) con éxito
C:\Users\user\AppData\Local\{B7EFE336-9603-4F6E-8F4D-A343D057642E} => movido(s) con éxito
"C:\Windows\System32\Drivers\etc\hosts" => No se pudo mover.
No se pudo restaurar Hosts.
========= EliminarProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor(es) eliminado(s) con éxito
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor(es) eliminado(s) con éxito
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valor(es) eliminado(s) con éxito
HKU\S-1-5-21-3033668385-1626477122-1689226782-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valor(es) eliminado(s) con éxito
========= Fin de EliminarProxy: =========
=========== VaciarTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27211233 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 232674873 B
Edge => 0 B
Chrome => 217798596 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 166340 B
LocalService => 66775 B
NetworkService => 67785 B
user => 711337352 B
RecycleBin => 0 B
VaciarTemp: => 1.1 GB de datos temporales borrados.
================================
El sistema tuvo que reiniciar.
Fin de Fixlog 21:53:33
un gran gracias de nuevocordialmente
Después de varios lanzamientos de MBAM Chameleon sin éxito, hice un MBAM clean y una reinstalación de la versión gratuita
funciona y después de escanear se encontraron y corrigieron varias fallas, aquí está el resultado en un archivo txt
https://pjjoint.malekal.com/files.php?id=20160911_y8d5w5y15k10
esperando que esto ponga fin a este calvario
gracias de nuevo por haber tomado su tiempo
funciona y después de escanear se encontraron y corrigieron varias fallas, aquí está el resultado en un archivo txt
https://pjjoint.malekal.com/files.php?id=20160911_y8d5w5y15k10
esperando que esto ponga fin a este calvario
gracias de nuevo por haber tomado su tiempo
Escanea tus llaves con Antivir y asegúrate de que esté bien actualizado antes =)
--
Por favor, presiona una tecla para continuar con la desinfección...
--
Por favor, presiona una tecla para continuar con la desinfección...