Pues llevaba una semana mosqueado con ver powershell en procesos al encender el ordenador. Lo finalizaba pulsando CTRL+ALT+SUPR, seleccionandolo y pulsando Finalizar Tarea... Pero no lo encontraba en la carpeta Inicio de la lista de programas que tenemos al pulsar el icono de Windows (En el teclado o abajo a la izquierda en Windows - a la izquierda por defecto si no lo has movido y usas algo anterior a Windows 8).
He iniciado Windows pulsando F8 al cargar el ordenador, y seleccionando a Prueba de Fallos con Red. Me he descargado Panda Cloud Cleaner y ejecutado.
http://pandacloudcleaner.pandasecurity.com/facebook/
Y este me ha encontrado un troyano o eso dice: IIF2H1GRNN.EXE malware trjn/GdSda.A
en la carpeta c:\usuarios\mi_usuario\appdata\roaming\
Para ver la carpeta appdata hay que permitir ver archivos ocultos y de sistema. Hay que ir en la ventana de archivos a Herramientas, Opciones de Carpeta, pestana Ver, ir hacia abajo al apartado "Archivos y carpetas ocultos" y marcar "Mostrar archivos, carpetas y unidades ocultos".
Panda Cloud Cleaner ha encontrado registros de programas potencialmente no deseados y alguna cosilla más, además de ofrecer la posibilidad de borrar cookies y archivos temporales... He marcado todo y ELIMINAR.
Quedaba el powershell...
Aquí montón de trucos para borrar lo que no esta permitido del registro: https://www.raymond.cc/blog/full-control-permission-to-delete-or-edit-restricted-windows-registry/
Lo que me ha funcionado y es lo más sencillo esta en la página 2, editar los permisos de una llave del registro como un archivo se tratara.
Esta vez me encontré en registro con el powershell en una llave "run"... ¿¿¿¿miraría mal la otra noche????
Ok, ¿cómo llegamos ahí?
Pulsamos el icono de Windows, Buscamos "cmd", lo seleccionamos y presionamos click derecho, ejecutar como Administrador, ponemos la clave de Administrador...
En la ventana de comando (cmd) escribimos "regedit" y pulsamos intro.
(si no se pueden cambiar los permisos igual hace falta el PSTools que recomienda Raymond.cc pero no creo sea necesario:
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
Lo guardamos en C:\ o algún sitio cerca... Lo descomprimimos y nos copiamos la ruta del archivo PsExec.exe
Abrimos la ventana de comando como indicado arriba, lo de "cmd".
Y ejecutamos: C:\prgs\PSTools\PsExec.exe -i -d -s c:\windows\regedit.exe
Modificáis prgs\ por la ruta a vuestra carpeta PSTools...)
Bueno, una vez tenemos la ventana de RegEdit. Pulsamos "Edición", buscar, escribimos "powershell" y buscamos, a cada entrada que no nos resulte rara pulsamos F3 para seguir buscando.
Esto es raro y lo que yo tenía en mi registro:
C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VFCBFFRQZAQUA').WSSHLWQRZE)));
Las demás referencias a powershell no tenían algo que siguiera a powershell.exe tan largo y menos que pusiera -noprofile o "hidden"....
Si no queremos pulsar F3 muchas veces, mi entrada "sospechosa" estaba en:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Antes de borrar cualquier cosa del registro, me hago una copia desde el menu de regedit: selecciona la carpeta de la izquierda que contiene lo que voy a borrar o modificar, voy a Archivo, exportar, miro abajo que este seleccionado "Rama seleccionada", busco la carpeta dónde guardar esta copia por si necesito importarla de nuevo, pongo un nombre al archivo y pulso guardar.
Bueno, una vez borrada la linea que hacía referencia a powershell en la carpeta Run del registro, me falta encontrar HKCU:\Software\Classes\VFCBFFRQZAQUA
Esto es, busco y selecciono a la izquierda la carpeta HKEY_CURRENT_USER, expando lo que contiene, busco Software, expando, busco Classes, expando y selecciono VFCBFFRQZAQUA
Si exporto esta llave, ocupa 1 mega 37 bytes... muchisimo... y no se puede borrar o modificar!!!!
Pues selecciono VFCBFFRQZAQUA, click derecho, selecciono permisos, abajo voy a opciones avanzadas, pestaña Propietario, selecciono Administrador o Administradores en la caja debajo de Nuevo propietario, marco al casilla de "Reemplazar propietario en subcontenedores y objetos" y pulso Aplicar.
En la ventana de Permisos anterior, marco Administrador o Administradores y marco abajo Control Total.
Y ya se puede borrar la maldita llave...