AddInProcess.exe uso excesivo del CPU y ataques de virus y troyanos

Afortunadamente uso Winpatrol que en estos momentos es un abandonaware y sigue sin haber una alternativa a sus funciones, estaba buscando un instalador específico de Clip Studio Paint, así que cuando al intentar iniciar la instalación descubrí que tenía un inyector y comenzó a crear múltiples rutinas y un paquetes de troyanos, el primero era un troyano Sabsik.FL.B!ml que es un ramsomeware y Script/Wacatac.B!ml que es una rutina que puede embeberse en un instalador que parece legítimo hasta que inicia su ejecución e inicia la inyección de diferentes troyanos y rutinas.

Si Windows Defender logra interceptarlo veremos de pronto que la máquina empezará a sonar como loca, parte del proceso de ejecución de los virus o troyanos es usar .Net Framework para instalar y crear rutinas, dependiendo de cuantos procesadores tengas, el problema puede ser del uso del 100%, el 60% y el 40% de uso.

En Windows, tanto en C: como en C:\Windows se crearon rutinas o logs ocultos que es uno de los síntomas de una intrusión y desde luego diferentes archivos de nombres aleatorios como "SETHC.exe".

Veremos entonces a AddInProcess.exe que están pujando por insertar una rutina de Microsoft NET Framework y Defender lo rechaza, eso provoca que se vuelva loco. Generalmente no veremos el programa responsable de mantener abierto este programa porque en el Administrador de Tareas habremos ordenado por uso de CPU u ordenado por orden alfabético.

Pero lo más terrible del caso es que AddInProcess.exe no pude ser terminado de ninguna manera y nuestra PC comenzará a tostarse.

Una vez que Windows Defender detiene la amenaza, en el apartado de Programas en segundo plano en el Administrador de Tareas buscamos .Net Framework Installer (será el primero porque comienza con un punto) o cualquier rutina que diga Net Framework y daremos clic derecho y en cerrar, luego haremos lo mismo con AddInProcess.exe y en cerrar.

Damos doble clic en el icono de Windows Defender en la barra de tareas y aceptamos cualquier mensaje que aparezca.

Nos vamos al apartado segundo con el ícono de un escudo y luego en Opciones de Examen:

Luego elegimos Examen de Microsoft Defender sin conexión y pulsa en Examinar ahora para que Windows analice desde el arranque la PC.

Winpatrol

Puedes buscar Winpatrol en Google pues ya no tiene Web, pero puedes instalarlo, cierra el programa cuando aparezca en la barra de tareas dando clic derecho sobre el cuadro con el perrito y en cerrar o Close:

Y luego ábrelo desde el menú de Inicio, pero das clic derecho sobre el acceso directo y en Abrir como Administrador.

Una vez se abra da doble clic sobre el mismo ícono del perrito en la barra de tareas. Vamos a la ficha que dice Hidden Files:

Allí borraremos cualquier registro fuera de los que se ven abajo:

• WINDOWSSHELL.MANIFEST
• DUMPSTACK.LOG
  
• HIBERFIL.SYS
  
• SWAPFILE.SYS
  
• PAGEFILE.SYS
  

Eliminé los archivos de la intrusión pero me quedó un archivo antiguo de cuando migré de un disco de 500 Gb a 1TB llamado EPMBatch si quiero puedo darle en Delete que es Borrar o Delete file on Reboot, este último si no dimos con permisos de administración.

Me engañaron completamente, Microsoft defender no detectó nada hasta que lancé el instalador y empezó a inyectar, AddInProcess.exe  me espantó porque no se podía cerrar, hasta que me dí cuenta de que era un proceso de Net Framework el que lo mantenía abierto. No pasó a mayores, pero tengo que hacer más pruebas.

Una cosa que debo de advertirles que vigilen las notificaciones, porque el script agregó la unidad C: en Exclusiones del antivirus, fue gracias a la notificación que pude cancelarlo, pero debido a lo difícil que es configurar Defender hubiera sido muy fácil pasar por alto la notificación.

Si no me creen el nombre de la función para agregar una exclusión es  Protección contra virus y Amenazas, luego en Configuración de Protección contra virus y amenazas (Administrar la configuración), para luego ir debajo de la lista y buscar Exclusiones.

En fin, cuando te pidan que desactives tu antivirus nunca lo hagas. Cuando busques una versión específica de un software que no está en el sitio web del creador, ni en un sitio de descargas de aplicación reputado te arriesgas a esto pese a que el antivirus no lo detectó hasta el momento de la instalación y resultó que la instalación real estaba comprimida dentro del falso instalador cuya tarea era intentar inyectarse en un nivel elevado mediante Net framework.

*Sería bueno mirar en msconfig si no tenemos rutinas de inicio raras o servicios extraños agregados a la lista. Lo mismo que en Aplicaciones de Inicio asegurarnos que no tengamos ninguna aplicación de más en el arranque.

En caso de que se siga abriendo AddInProcess.exe en el reinicio, es posible que requieran usar algún programa como Malwarebytes o Search & Destroy - Spybot, o en Inicio escriban Crear punto de restauración y en Propiedades de sistema pulsan en Restaurar sistema y eligen un punto de restauración anterior que haya sido distinto al día actual.