Archivo appdata\roaming\startup_str_***.vbs no encontrado.

Resuelto
Steewy -  
bazfile Mensajes publicados 58482 Fecha de registro   Estado Moderador Última intervención   -

Hola,

Desde hace unos días tengo varios archivos que no puedo encontrar en mi computadora.
Cada vez que arranco mi ordenador, aparecen varios pop-ups diciéndome que los archivos son introuvables:

C:\Users\....\AppData\Roaming\startup_str_675.vbs

y no es el único, tengo los mismos mensajes que aparecen con diferentes números como str_569,230,194,626,363,854 y 81.

He intentado buscar una manera de solucionar mi problema en varios foros, pero no quise tocar nada y preferí pedir ayuda en lugar de hacer cualquier cosa y meter la pata.

PD: estoy en Windows 10


1 respuesta

bazfile Mensajes publicados 58482 Fecha de registro   Estado Moderador Última intervención   20 264
 

Hola.

Descarga FRST.

Una vez descargado, guárdalo en el escritorio y luego haz clic derecho sobre FRST y selecciona Ejecutar como administrador, deberías ver esto:

Espera a que aparezca el mensaje la herramienta está lista para funcionar y luego haz clic en Analizar


Cuidado, espera a que aparezcan los mensajes diciendo que el análisis ha terminado.

Al final del análisis tendrás dos archivos de texto en el escritorio FRST y Addition.

Luego envía los informes FRST y ADDITION a https://www.cjoint.com/ y proporciona los dos enlaces generados por https://www.cjoint.com/ en tu respuesta.


bazfile
Moderador/Contribuidor de seguridad.
un hola, una respuesta, un gracias siempre son bienvenidos.

1
Steewy
 

Re_
Aquí están los dos enlaces que pediste

FRST : https://www.cjoint.com/c/NCAqTF36dv1 
ADICIÓN : https://www.cjoint.com/c/NCAqUZ6kYP1 

0
bazfile Mensajes publicados 58482 Fecha de registro   Estado Moderador Última intervención   20 264 > Steewy
 

Procedimiento a realizar en el orden indicado:

1- Abre FRST como administrador, para ello haz clic derecho sobre FRST y selecciona Ejecutar como administrador
2- Copia todo el script que está en el recuadro siguiente:

  Start:: CreateRestorePoint: CloseProcesses: Virusscan: C:\WINDOWS\SysWOW64\launcher.scr Virusscan: C:\Users\Steewy\AppData\Roaming\startup_str_675.vbs Virusscan: C:\Program Files (x86)\Google\GoogleUpdater\124.0.6359.0\updater.exe HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [AF_uuid_2426960] => 8826d2b9-a615-41a0-b39b-8d98d1d421d1*wMatrix)***********îÄì0*^*€GL_EXT_s (Sin archivo) HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [AF_counter_2426960] => 8 (Sin archivo) HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Sin archivo) HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_675_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_675.vbs" [116 2024-03-06] () [Archivo no firmado] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_81_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_81.vbs" [115 2024-03-06] () [Archivo no firmado] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_854_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_854.vbs" [116 2024-03-26] () [Archivo no firmado] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_363_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_363.vbs" [116 2024-03-26] () [Archivo no firmado] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_626_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_626.vbs" [116 2024-03-26] () [Archivo no firmado] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_194_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_194.vbs" [116 2024-03-26] () [Archivo no firmado] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_230_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_230.vbs" [116 2024-03-26] () [Archivo no firmado] HKU\S-1-5-21-2045856332-3954248049-232283468-1001\...\Run: [RuntimeBroker_startup_569_str] => wscript.exe "C:\Users\Steewy\AppData\Roaming\startup_str_569.vbs" [116 2024-03-26] () [Archivo no firmado] Task: {7991ACCA-FB7E-44D8-922A-A6EE3B3A5CBD} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6359.0{9F9D274C-EB88-4C3C-A1AA-E224B4D955E5} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6359.0\updater.exe [4749088 2024-03-15] (Google LLC -> Google LLC) S3 ksophon_x64; \??\D:\Tower Of Fantasy\Hotta\Binaries\Win64\ksophon_x64.sys [X] U4 npcap_wifi; sin ImagePath S2 GoogleUpdaterInternalService124.0.6359.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6359.0\updater.exe [4749088 2024-03-15] (Google LLC -> Google LLC) S2 GoogleUpdaterService124.0.6359.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6359.0\updater.exe [4749088 2024-03-15] (Google LLC -> Google LLC) CustomCLSID: HKU\S-1-5-21-2045856332-3954248049-232283468-1001_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Sin archivo C:\Users\Steewy\AppData\Roaming\startup_str_675.vbs C:\Users\Steewy\AppData\Roaming\startup_str_81.vbs C:\Users\Steewy\AppData\Roaming\startup_str_854.vbs C:\Users\Steewy\AppData\Roaming\startup_str_363.vbs C:\Users\Steewy\AppData\Roaming\startup_str_626.vbs C:\Users\Steewy\AppData\Roaming\startup_str_194.vbs C:\Users\Steewy\AppData\Roaming\startup_str_230.vbs C:\Users\Steewy\AppData\Roaming\startup_str_569.vbs C:\Program Files (x86)\Google\GoogleUpdater\124.0.6359.0\updater.exe C:\Users\Steewy\AppData\Roaming\startup_str_854.bat cmd: netsh advfirewall reset EmptyTemp: End::

3- Una vez copiado el script, haz clic en Corregir, FRST tomará automáticamente el script que está en el portapapeles.


Deja que la corrección se realice, una vez que haya terminado se te pedirá que reinicies tu PC, hazlo tan pronto como se te indique, ver más abajo.

Luego, una vez que tu computadora se haya reiniciado:
4- Tendrás un archivo Fixlog en tu escritorio, luego envía este informe fixlog a https://www.cjoint.com/ y luego da el enlace generado por https://www.cjoint.com/ en tu respuesta.

5- VERIFICA Y DIME SI TU PROBLEMA SIGUE PRESENTE

1
Steewy > bazfile Mensajes publicados 58482 Fecha de registro   Estado Moderador Última intervención  
 

Re_

¡No más ventanas emergentes al iniciar el ordenador, ¡muchas gracias!

https://www.cjoint.com/c/NCAr3OzcQZ1

0
bazfile Mensajes publicados 58482 Fecha de registro   Estado Moderador Última intervención   20 264 > Steewy
 

El fixlog está OK.

Dada la naturaleza de la infección, cambia tus contraseñas en línea que sean sensibles e importantes para ti.


Desinstala FRST, renombra el archivo FRST que has descargado, cámbialo a uninstall, y una vez renombrado, ábrelo. La desinstalación se realizará automáticamente mediante un reinicio del PC.

0