MENU
  1. Inicio
  2. Windows
  3. troubleshooting
  4. Eliminar “wthtruh” (AutoIt V3 Script) y detener el pop‑up “Run Script:” en Windows

Eliminar “wthtruh” (AutoIt V3 Script) y detener el pop‑up “Run Script:” en Windows

troubleshooting

¿Ves una ventana “Run Script:” que vuelve una y otra vez y en el Administrador de tareas aparece “AutoIt v3 Script” con un nombre raro como wthtruh? Esta guía práctica te explica cómo identificar y eliminar esa infección, limpiar restos (incluido un posible minero XMRig) y restaurar servicios críticos de Windows.

Índice

Qué es “wthtruh” y por qué aparece “Run Script:”

“wthtruh” es un nombre arbitrario que suele usar un malware empacado con AutoIt. Al ejecutarse, lanza el intérprete/loader de AutoIt y eso dispara un cuadro de diálogo llamado “Run Script:”. El archivo está diseñado para persistir: puede esconderse en %ProgramData%, %AppData% o %Temp%, crear tareas programadas, claves de Run/RunOnce e incluso desactivar servicios como Windows Update para dificultar su eliminación. En varios casos, viene acompañado de un minero de criptomonedas (XMRig) que consume CPU/GPU.

Resumen rápido de la solución

  • Diagnosticar con FRST (Farbar Recovery Scan Tool) para entender qué inicia “wthtruh”.
  • Desinstalar Web Companion (Lavasoft) u otros PUP desde Aplicaciones y características.
  • Limpiar con FRST usando un fixlist hecho a medida de tus registros.
  • Revisar y restaurar servicios de Windows Update: BITS, DoSvc, UsoSvc y wuauserv.
  • Validar: confirmar que desapareció el pop‑up y que no queda persistencia.
  • Escaneo de control con Windows Defender y un segundo escáner bajo demanda.

Señales que confirman la infección

SíntomaQué indicaAcción sugerida
Ventana “Run Script:” repetitivaIntentos de ejecución del cargador de AutoItInspeccionar persistencia con FRST y Autoruns
Proceso “AutoIt v3 Script” con nombre raro (p. ej., wthtruh)Script AutoIt empaquetado/ocultoDetener proceso, identificar origen con logs
CPU/GPU al 100% sin razónPosible minero XMRig activoFinalizar procesos, limpiar y re‑escaneos
Windows Update falla o está deshabilitadoServicios alterados por el malwareRestaurar BITS/DoSvc/UsoSvc/wuauserv

Antes de empezar

  • Crea un punto de restauración o una copia de seguridad de archivos importantes.
  • Trabaja como administrador. En laptops, conecta a la corriente.
  • No ejecutes “fixlists” de terceros: cada fixlist debe construirse desde FRST.txt y Addition.txt de tu equipo.

Diagnóstico con FRST (Farbar Recovery Scan Tool)

  1. Descarga FRST adecuado para tu sistema (x64 o x86).
  2. Si Windows no está en inglés, renombra FRST64.exe a FRST64English.exe para forzar interfaz en inglés.
  3. Ejecuta FRST como administrador y pulsa Scan. Se generarán FRST.txt y Addition.txt en la misma carpeta.

Estos registros enumeran procesos, tareas programadas, claves de inicio, servicios, módulos cargados, etc. Son la base para redactar un fixlist seguro y eficaz.

Qué buscar en los registros

  • Tareas programadas con nombres sospechosos o rutas que apunten a %AppData%/%Temp%.
  • Claves Run/RunOnce en HKLM y HKCU que lancen ejecutables desde carpetas de usuario o con extensión camuflada (.dat, .tmp, .scr).
  • Servicios de Windows Update en Disabled o con errores.
  • Indicadores de XMRig (parámetros como --donate-level, --algo, --url), binarios con nombres engañosos en %ProgramData% o %AppData%.
Ubicación habitualEjemplos que verás en FRSTNota
Persistencia en RunHKCU\...\Run: [wthtruh] => C:\Users\...\AppData\Roaming\wthtruh.exeRuta fuera de Program Files suele ser sospechosa
Tareas programadasTask: {GUID} - wthtruh => C:\Users\...\AppData\Local\Temp\...\wthtruh.exeActivadores al iniciar sesión o cada X minutos
Servicios alteradosBITS, DoSvc, UsoSvc, wuauserv => DisabledFrecuente en infecciones que bloquean actualizaciones
Minerosxmrig.exe, runtimebroker.exe falso, svhost.exe (typo)Consumo anómalo de CPU/GPU

Desinstalar software no deseado

Abre Configuración > Aplicaciones > Aplicaciones y características (o Panel de control > Programas y características) y desinstala Web Companion (Lavasoft) si aparece, junto con otros programas que no reconozcas o que se instalaron en fechas próximas al problema.

Limpieza dirigida con FRST

Un fixlist bien escrito detiene procesos maliciosos, elimina tareas/entradas de inicio, limpia archivos y restaura configuraciones. Coloca Fixlist.txt en la misma carpeta de FRST y pulsa Fix. FRST creará Fixlog.txt con el detalle de lo realizado y pedirá reiniciar.

Importante: no reutilices el fixlist de otra máquina. A modo educativo, este es solo un ejemplo reducido de líneas que podrían aparecer en un caso típico. No lo uses tal cual:

CreateRestorePoint:
CloseProcesses:
Task: {GUID-EXAMPLE} - System32\Tasks\wthtruh => C:\Users\%username%\AppData\Roaming\wthtruh\wthtruh.exe
C:\Users\%username%\AppData\Roaming\wthtruh\
C:\Users\%username%\AppData\Local\Temp\*.tmp
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "wthtruh" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "wthtruh" /f
Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v Start /t REG_DWORD /d 3 /f
Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Services\BITS" /v Start /t REG_DWORD /d 3 /f
Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Services\DoSvc" /v Start /t REG_DWORD /d 3 /f
Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc" /v Start /t REG_DWORD /d 3 /f
EmptyTemp:
End::

Tras ejecutar la reparación y reiniciar:

  • Abre Fixlog.txt y verifica que los ítems se eliminaron o restauraron sin errores.
  • Comprueba que ya no aparece la ventana “Run Script:”.

Amenaza adicional frecuente: minero XMRig

En muchos casos, junto al loader de AutoIt se instala XMRig. Indicadores típicos:

  • Proceso con nombre genuino pero ruta sospechosa en %AppData% o %ProgramData%.
  • Uso de CPU constante > 50% cuando el equipo está inactivo.
  • Tareas programadas que reinician el minero tras cerrar sesión o cada pocos minutos.

La limpieza con FRST bien aplicada elimina estos restos. Si el rendimiento sigue raro, realiza los escaneos de control al final de esta guía.

Comprobación y restauración de servicios de Windows Update

Abre PowerShell como administrador y ejecuta:

gsv BITS, dosvc, usosvc, wuauserv | ft -auto Name, DisplayName, StartType, Status

Si alguno quedó en Disabled, restáuralo:

Set-Service -Name BITS -StartupType Manual
Set-Service -Name DoSvc -StartupType Manual
Set-Service -Name UsoSvc -StartupType Manual
Set-Service -Name wuauserv -StartupType Manual

Start-Service BITS
Start-Service DoSvc
Start-Service UsoSvc
Start-Service wuauserv
ServicioNombre para mostrarInicio recomendado (Win10/11)Descripción
BITSBackground Intelligent Transfer ServiceManual (Trigger Start)Transferencias en segundo plano, vital para actualizaciones
DoSvcDelivery OptimizationManual (Trigger Start)Optimiza la distribución de actualizaciones
UsoSvcUpdate Orchestrator ServiceManual (Trigger Start)Orquesta el ciclo de actualización de Windows
wuauservWindows UpdateManual (Trigger Start)Servicio principal de Windows Update

Reparaciones complementarias del sistema

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Si Windows Update sigue fallando, puedes restablecer componentes (ejecuta en CMD como admin):

net stop wuauserv
net stop bits
net stop dosvc
net stop usosvc
rd /s /q %systemroot%\SoftwareDistribution
rd /s /q %systemroot%\System32\catroot2
net start bits
net start dosvc
net start usosvc
net start wuauserv

Validación de resultado

  • La ventana “Run Script:” deja de aparecer.
  • No hay procesos “AutoIt v3 Script” activos tras reiniciar.
  • Windows Update vuelve a buscar e instalar actualizaciones con normalidad.
  • El consumo de CPU/GPU en reposo se estabiliza.

Qué hacer si reaparecen los síntomas

  • Autoruns (Sysinternals): revisa Logon, Scheduled Tasks, Services, Drivers y AppInit.
  • Programador de tareas: elimina entradas residuales con rutas a %AppData%/%Temp%.
  • Navegadores: quita extensiones extrañas y restablece el navegador.
  • Red: comprueba que no hay proxy/DNS forzado (ver comandos más abajo).
  • Repite FRST para generar nuevos registros y preparar un fixlist actualizado.

Controles de seguridad adicionales

  • Windows Defender: realiza un examen completo. Si usas otra solución, ejecuta además un escaneo bajo demanda para segunda opinión (p. ej., Microsoft Safety Scanner).
  • Arranque seguro: si algo se resiste, inicia en Modo seguro con funciones de red y repite los pasos.
  • Supervisa rendimiento: si sube CPU/GPU sin tarea, revisa el Administrador de tareas y el Visor de eventos.

Comandos útiles para endurecer y verificar

Red y proxy

netsh winhttp show proxy
netsh winhttp reset proxy
ipconfig /flushdns

Hosts por defecto (inspección manual)

Abre C:\Windows\System32\drivers\etc\hosts como administrador y asegúrate de no tener redirecciones extrañas. Por defecto suele bastar con la línea de localhost.

Claves de Windows Update en registro (cuando no hay GP)

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /f

Precaución: solo elimina políticas si sabes que no hay una directiva corporativa que las establezca.

Errores comunes a evitar

  • Copiar fixlists ajenos: puede romper servicios y drivers. Siempre genera los tuyos desde tus registros FRST.
  • Eliminar archivos a ciegas en System32: bajarás la estabilidad del sistema.
  • Ignorar servicios deshabilitados: aunque el pop‑up desaparezca, sin BITS/DoSvc/UsoSvc/WUA no habrá actualizaciones.
  • Confiarte si “no ves” el archivo: muchos loaders se renombran y se esconden en %Temp% o usan .dat.

Checklist rápido

PasoEstadoNotas
FRST ejecutado y logs obtenidos✅/❌FRST.txt y Addition.txt en carpeta de trabajo
Web Companion desinstalado✅/❌Revisa lista de programas por fechas
Fixlist personalizado aplicado✅/❌Fixlog.txt sin errores críticos
Servicios de Windows Update restaurados✅/❌Todos en Manual (Trigger Start) y en ejecución cuando proceda
Escaneos de control completados✅/❌Defender + escáner bajo demanda
Sistema estable tras reinicios✅/❌Sin pop‑ups ni uso anómalo de CPU/GPU

Preguntas frecuentes

¿Por qué Windows Defender “contuvo” algo pero el archivo ya no está?

Muchos loaders crean y borran archivos temporales al vuelo o cambian de nombre entre ejecuciones. También es posible que el antivirus moviera el archivo, pero la persistencia (tarea o clave de inicio) siga activa. De ahí la importancia de FRST: detiene la causa, no solo el síntoma.

¿Puedo borrar simplemente todo lo que huela a AutoIt?

No. AutoIt es una herramienta legítima y hay software que lo usa. Borrar indiscriminadamente puede romper aplicaciones. Identifica primero la cadena de arranque (quién ejecuta qué y desde dónde).

¿Qué pasa si al restaurar servicios me aparece “Acceso denegado”?

Ejecuta PowerShell/CMD como administrador. Si persiste, comprueba políticas de grupo y el estado de protección contra manipulaciones de Defender. En entornos corporativos, contacta al administrador.

¿Es obligatorio el Modo seguro?

No siempre. Pero si el malware se reinyecta (el pop‑up reaparece de inmediato), el Modo seguro con funciones de red puede facilitar la limpieza.

Buenas prácticas para prevenir reinfecciones

  • Mantén Windows y controladores actualizados.
  • Instala software solo de fuentes confiables; durante asistente de instalación, rechaza “extras”.
  • Activa Protección contra manipulaciones en Windows Security.
  • Deshabilita el auto‑run de unidades USB si sueles conectarlas a equipos no confiables.
  • Usa cuentas estándar para el día a día; reserva la de administrador para tareas puntuales.

Conclusión

La combinación FRST + fixlist a medida + restauración de servicios elimina el archivo/proceso persistente wthtruh (AutoIt v3 Script), detiene la ventana emergente “Run Script:” y devuelve a la normalidad los servicios de Windows Update. Completa con escaneos de control y revisiones de arranque para evitar recaídas.

Guía resumida de comandos clave

:: Ver servicios de actualización
powershell -NoP -C "gsv BITS, dosvc, usosvc, wuauserv | ft -auto Name, DisplayName, StartType, Status"

\:: Establecer inicio y arrancar servicios principales
powershell -NoP -C "Set-Service BITS -StartupType Manual; Set-Service DoSvc -StartupType Manual; Set-Service UsoSvc -StartupType Manual; Set-Service wuauserv -StartupType Manual; Start-Service BITS; Start-Service DoSvc; Start-Service UsoSvc; Start-Service wuauserv"

\:: Integridad del sistema
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

\:: Red / Proxy
netsh winhttp show proxy
netsh winhttp reset proxy
ipconfig /flushdns

Resultado final del caso: tras aplicar el procedimiento, se eliminaron los restos (incluido un minero XMRig) y la ventana emergente “Run Script:” dejó de aparecer. El sistema volvió a la normalidad.

troubleshooting
Windows PowerShell Troubleshooting Windows Defender FRST XMRig AutoIt V3 Script wthtruh
Índice