¿Ves que en C:\Users<USER>\AppData\Local\Temp aparecen carpetas aleatorias nsxxxxx.tmp cada minuto con un shangri.exe dentro y tu antivirus (por ejemplo, McAfee) lo pone en cuarentena sin parar? Es un patrón típico de infección. Aquí tienes un diagnóstico claro y una guía profesional para erradicarlo de Windows.
Resumen del caso real
En un equipo con Windows se generaban una y otra vez directorios temporales con nombre tipo ns12345.tmp, todos conteniendo shangri.exe. El antivirus detectaba el ejecutable y lo enviaba de inmediato a cuarentena, pero el archivo reaparecía al minuto. Tras analizar el sistema, se confirmó la presencia de:
- Un troyano genérico escrito en Go/Golang (dropper que reinyecta el ejecutable en Temp).
- NetSupport Manager (software de control remoto). Si no lo instalaste, indica acceso no autorizado (RAT).
La desinfección se realizó con FRST (Farbar Recovery Scan Tool) y un fixlist adaptado al caso, además de retirar persistencias y restos camuflados bajo C:\ProgramData\regid.1993-06.com.microsoft\ (incluido un falso wmiprvse.exe allí alojado). El proceso concluyó con la limpieza de residuos y la verificación de que ya no se recreaban las carpetas nsxxxxx.tmp.
Qué está pasando realmente
La aparición cíclica de nsxxxxx.tmp delata un instalador/paquete que se autoextrae (mucho malware usa empaquetadores que dejan huellas “ns” en Temp). Ese empaquetador deposita shangri.exe y ejecuta lógica de persistencia. Aunque el antivirus lo atrape, la pieza responsable de reponerlo sigue viva (servicio, tarea programada, clave Run, WMI o un loader en otra ruta), por lo que el archivo vuelve a crearse. Si además hay NetSupport Manager sin tu autorización, alguien podría estar controlando tu PC.
Indicadores, impacto y prioridad
| Indicador | Qué significa | Riesgo | Acción |
|---|---|---|---|
Carpetas nsxxxxx.tmp cada minuto | Dropper activo generando payloads en Temp | Alto (reinfeciones constantes) | Eliminar persistencia y loader con FRST |
shangri.exe reaparece pese a cuarentena | Hay un mecanismo que lo recrea (servicio/tarea/WMI) | Alto | Auditar tareas, servicios y claves de inicio |
| NetSupport Manager presente sin tu consentimiento | RAT/soporte remoto potencialmente abusivo | Crítico (posible control externo) | Retirar cliente/servicios y cambiar credenciales |
wmiprvse.exe fuera de System32\wbem | Impostor camuflado en ProgramData | Alto | Eliminar el falso, preservar el legítimo |
Antes de empezar: preparación segura
- Desconecta temporalmente de Internet si sospechas control remoto (desactiva Wi‑Fi o quita el cable). Reconéctate solo cuando sea necesario descargar herramientas.
- Haz copia de documentos esenciales. No copies ejecutables desconocidos ni toda la carpeta Temp.
- Inicia sesión con una cuenta con permisos de administrador.
- Ten a mano tu antivirus actualizado y FRST (x64 si tu Windows es de 64 bits).
- Si el equipo está muy inestable, considera trabajar en Modo seguro con funciones de red.
Desinfección paso a paso con FRST
Diagnóstico con FRST (Scan)
- Guarda FRST en el Escritorio (no lo ejecutes desde Temp).
- Ejecuta FRST como administrador y pulsa Scan.
- Se generarán FRST.txt y Addition.txt. En ellos verás:
- Claves de inicio en
HKLM/HKCU\...\Runapuntando a rutas raras (por ejemplo,ProgramData\regid.1993-06.com.microsoft\*.exe). - Tareas programadas o servicios que disparan
shangri.exeo un loader cada minuto. - Restos de NetSupport (servicios, tareas, carpetas en
C:\Program Files (x86)\NetSupport Managero subcarpetas bajoProgramData). - Entradas WMI persistentes (suscripciones/consumidores) si las hubiese.
- Claves de inicio en
Corrección con FRST (Fix)
- Prepara un Fixlist.txt específico para tu caso (basado en lo que arrojó el Scan). El fixlist debe apuntar a:
- Claves Run o RunOnce que llamen a binarios en Temp o ProgramData.
- Tareas programadas que creen
nsxxxxx.tmpo ejecutenshangri.exe. - Servicios/archivos falsos en
ProgramData(incluidoswmiprvse.exeno legítimos). - Carpetas y ejecutables de NetSupport si no lo utilizas.
- Coloca
Fixlist.txten el mismo directorio que FRST (por ejemplo, el Escritorio). - Ejecuta FRST como administrador y pulsa Fix. Acepta el reinicio cuando lo pida.
- Tras el reinicio, abre el Fixlog.txt y verifica:
- Entradas con Deleted, Quarantined o Moved para archivos y claves objetivo.
- Si aparece Not Found, significa que el objeto ya no estaba: es normal si el antivirus o tú lo eliminaste antes.
Importante: el wmiprvse.exe legítimo vive en C:\Windows\System32\wbem\. Si ves un wmiprvse.exe bajo ProgramData u otra ruta ajena al sistema, es impostor y debe eliminarse. No borres el de System32\wbem.
Ejemplo orientativo de Fixlist (explicado)
Este es solo un ejemplo didáctico para ilustrar qué tipo de entradas suelen incluirse. Debes adaptarlo estrictamente a lo que reporte tu Scan (no apliques a ciegas en otros equipos):
CloseProcesses:
CreateRestorePoint:
; Quitar claves de inicio maliciosas
HKCU...\Run: \[Actualizador] -> \ ; ejemplo de valor huérfano
HKLM...\Run: \[MicrosoftUpdate] -> C:\ProgramData\regid.1993-06.com.microsoft\wmiprvse.exe
; Tareas programadas sospechosas (ejemplos)
Task: {GUID-1} - System32\Tasks\Updater -> C:\ProgramData\regid.1993-06.com.microsoft\wmiprvse.exe
Task: {GUID-2} - System32\Tasks\Shangri -> C:\Users<USER>\AppData\Local\Temp\shangri.exe
; Servicios falsos (ejemplo)
S3 WmiPrvSEUpdate; "C:\ProgramData\regid.1993-06.com.microsoft\wmiprvse.exe" \[X]
; Eliminar restos en ProgramData y Temp (ajustar rutas concretas halladas)
C:\ProgramData\regid.1993-06.com.microsoft
C:\Users<USER>\AppData\Local\Temp\ns\*.tmp
C:\Users<USER>\AppData\Local\Temp\shangri.exe
; Quitar NetSupport si no es deseado (rutas típicas, confirma en tu Scan)
C:\Program Files (x86)\NetSupport Manager
C:\ProgramData\NetSupport\\
EmptyTemp: Observa que se eliminan claves, tareas y archivos exactamente en las rutas detectadas. Evita patrones demasiado amplios para no borrar contenido legítimo.
Resultados esperables
- Dejarás de ver nuevas carpetas
nsxxxxx.tmpy el antivirus dejará de alertar porshangri.exe. - El Fixlog reflejará la limpieza de las persistencias (Run/Tasks/Servicios/WMI).
- Si el sistema estaba bajo control remoto, la sesión se cortará en cuanto retires NetSupport y el dropper.
Limpieza final de FRST
Para desinstalar FRST por completo, renómbralo a uninstall.exe, ejecútalo y reinicia el equipo. Con eso se eliminan la carpeta de cuarentena y archivos auxiliares.
Acciones posteriores imprescindibles tras una intrusión
- Cambia contraseñas de correo, banca, redes sociales y servicios críticos. Activa autenticación multifactor (MFA).
- Observa durante 24–48 horas que no se recrean
nsxxxxx.tmpnishangri.exeen Temp. - Verifica que NetSupport u otros programas de control remoto no estén instalados si no los usas.
- Actualiza Windows y software. Aplica parches pendientes.
- Pasa un escáner sin conexión de tu antivirus (o un análisis “Offline”) para doble comprobación sin que el malware pueda esconderse en memoria.
- Revisa RDP y políticas: si no usas Escritorio remoto, desactívalo; valida reglas del Firewall y que no existan cuentas locales desconocidas.
Cómo comprobar manualmente que ya no hay persistencia
Estas comprobaciones son seguras y ayudan a confirmar que nada volverá a crear shangri.exe:
- Tareas programadas: abre Programador de tareas y busca tareas nuevas o con nombres genéricos (Updater, Maintenance, Shangri, System). Revisa la Acción: si apunta a Temp o ProgramData, investígala.
- Inicio: en Administrador de tareas → Inicio, deshabilita/retira elementos que apunten a rutas no estándar.
- Servicios: ejecuta
services.mscy ordena por Nombre. Cualquier servicio sin descripción o con ruta fuera deProgram FilesyWindowsmerece revisión. - Archivos: confirma que
C:\ProgramData\regid.1993-06.com.microsoft\no contenga ejecutables desconocidos. Esa carpeta puede existir legítimamente, pero no debería albergar binarios que se ejecuten al inicio.
¿Es malware o una app potencialmente no deseada (PUP)?
El comportamiento descrito es de malware. Que un archivo se regenere cada minuto desde Temp no es propio de software legítimo. NetSupport Manager en sí es una herramienta válida de administración remota, pero su presencia no autorizada la convierte en un RAT efectivo. Trátalo como intrusión.
Ubicaciones y nombres legítimos vs. sospechosos
| Elemento | Ruta legítima | Ruta sospechosa | Nota |
|---|---|---|---|
wmiprvse.exe | C:\Windows\System32\wbem\ | C:\ProgramData\..., Temp | Si está fuera de System32\wbem, es casi seguro impostor. |
| NetSupport Manager | C:\Program Files (x86)\NetSupport Manager\ | ProgramData\regid.1993-06.com.microsoft\ (camuflado) | Puede legarse a servicios/tareas con nombres genéricos. |
shangri.exe | — | Temp\nsxxxxx.tmp\ o Temp\ | Nombre no forma parte de Windows; su aparición es un IOC. |
Comandos útiles (opcionales) para auditoría rápida
Ejecuta en Símbolo del sistema (Admin) o PowerShell (Admin):
:: Buscar tareas relacionadas
schtasks /query /fo LIST /v | findstr /i "shangri netsupport regid wmiprvse temp"
\:: Listar servicios con rutas anómalas
sc query type= service state= all | findstr /i "netsupport wmi shangri"
\:: Ver cambios recientes en ProgramData (últimos 2 días)
powershell -Command "Get-ChildItem 'C:\ProgramData' -Recurse | Where-Object {$\_.LastWriteTime -gt (Get-Date).AddDays(-2)} | Select-Object FullName, LastWriteTime" FRST terminó el Fix “en 1 segundo”: ¿es normal?
Sí, es perfectamente normal en varios escenarios. FRST no “fuerza” cambios si el objeto ya no existe; simplemente valida y registra el estado. Estos son los motivos habituales de una finalización inmediata:
- Los restos ya fueron removidos por tu antivirus o por acciones previas. El Fix solo confirma que no queda nada por hacer.
- El fixlist apuntaba a rutas/CLSID ya ausentes. Verás Not Found en el Fixlog.txt.
- No hay reinicio necesario si no hay archivos en uso ni servicios a desinstalar, lo que acorta el proceso.
- Elimina rápido porque solo limpia temporales (
EmptyTemp) y entradas sueltas sin dependencias.
Lo crucial es el contenido del Fixlog.txt. Acepta como “OK” si:
- Las rutas y claves que te preocupaban aparecen como Deleted, Quarantined o Not Found (ya no existen).
- Después del Fix, el sistema deja de recrear
nsxxxxx.tmp/shangri.exe.
Checklist final de erradicación
- Sin nuevas alertas del antivirus por
shangri.exeen 24–48 h. - La carpeta
Tempya no generansxxxxx.tmpcada minuto. - En Programador de tareas no hay tareas que apunten a
TempoProgramData\regid.... - No hay servicios/entradas Run sospechosos.
- NetSupport no está instalado (si no lo usas) ni hay rastros en
Program Files/ProgramData. - El único
wmiprvse.exepresente está enSystem32\wbem. - Has cambiado contraseñas y activado MFA.
Preguntas frecuentes
¿Puedo simplemente borrar shangri.exe y ya está?
No. El problema no es el archivo en sí, sino la persistencia que lo recrea. Si no eliminas el mecanismo, reaparecerá.
¿NetSupport es malware?
No por definición. Es legítimo como herramienta de soporte. La clave es el contexto: si no lo instalaste tú ni tu empresa, trátalo como intrusión.
¿Por qué aparece el prefijo ns?
Muchos empaquetadores/instaladores que extraen contenido en Temp crean carpetas con ese prefijo. Es un indicio de dropper, no una prueba única. La combinación con shangri.exe y persistencias sí es concluyente.
¿Puedo usar otra herramienta en lugar de FRST?
Autoruns (Sysinternals), Malwarebytes AdwCleaner o el Escaneo sin conexión de tu antivirus son alternativas que ayudan a detectar persistencias. FRST destaca por su precisión y la posibilidad de aplicar fixlists adaptados.
¿Y si FRST no encuentra nada, pero el síntoma sigue?
Vuelve a escanear en Modo seguro y revisa WMI/Programador de tareas. Considera una segunda opinión con otro antivirus. En escenarios avanzados, un restablecimiento de Windows preservando datos puede ser más rápido y seguro.
Resumen ejecutivo (para decidir rápido)
- El patrón
Temp\nsxxxxx.tmp+shangri.exe= infección activa. - Elimina el loader/persistencia con FRST (Scan → Fix con fixlist a medida).
- Retira NetSupport si no lo usas; cambia contraseñas y activa MFA.
- Asegúrate de no borrar el
wmiprvse.exelegítimo deSystem32\wbem. - Si FRST termina el Fix “en 1 segundo”, es normal cuando ya no quedan restos.
Conclusión
La combinación de un dropper que regenera shangri.exe en Temp y la posible presencia no autorizada de NetSupport Manager apunta a una intrusión real. La estrategia ganadora es cortar la persistencia (tareas, servicios, claves Run, WMI) con FRST, limpiar los restos y reforzar la seguridad de cuentas y del sistema. Con ello, no solo detienes las alertas del antivirus: recuperas el control de tu PC y previenes reapariciones.
Apéndice: guía rápida de verificación post‑limpieza
- Abre Visor de eventos → Registros de Windows → Aplicación/Sistema. Busca errores recurrentes a cada minuto: si desaparecen, es buena señal.
- En Administrador de tareas → Detalles, monitoriza procesos extraños que reaparezcan con nuevos PID al minuto.
- Revisa Firewall de Windows por reglas nuevas añadidas el día de la infección.
- Comprueba Opciones de Internet → Conexiones → Configuración de LAN que no haya proxy forzado.
Si gestionas varios equipos, documenta la hora exacta de erradicación, conserva los logs (FRST.txt, Addition.txt, Fixlog.txt) y considera aplicar directivas de grupo (GPO) para bloquear ejecución desde Temp y AppData con reglas de control de aplicaciones.
Nota final sobre el uso de FRST: FRST es potente. Un fixlist bien construido elimina la persistencia en minutos; uno mal hecho puede borrar archivos que no debe. Por eso, parte siempre de tus propios logs de FRST y apunta solo a lo que confirmas como malicioso o fuera de lugar.