Guía para desinfección y detección de malware

haschatan

Muchas gracias

Xlonicop

#479 Lo de gmail puede ser por publicidad, porque te registraste en alguna web que mande publicidad o porque mostraste publicamente ese g-mail en especifico e incluso puede que le hallas pasado a algun usuario ese g-mail y ahora te este trolleando.
Mi recomendacion, borra los temporales de internet de vez en cuando, utiliza un buen firewall, no des e-mail de importancia cualquier usuario de la web y por ultimo, te recomiendo utilizar otros correos en paginas sin importancia, como protonmail o yandex, etc, saludos.

JuGuLaToR

#479 Ese mail nos llegó a unos cuantos no hace mucho. Ni caso.

y34hl0ve

Buenas chicos, el otro día le deje a mi madre un pendrive para que se imprimiera unas cosas (fallo mio, no vuelvo a usar en pendrive en un ordenador no sea de confianza) y ahora al conectarlo en mi ordenador he visto que había un acceso directo creado, donde estaban todos los archivos, al cual no me dejaba acceder, he mirado la ruta a la que lo dirigía y es %COMSPEC% /C .\WindowsServices\movemenoreg.vbs

Investigando un poco he visto que es un virus que te jode el pendrive, por lo que me he acojonado y he pasado el RKill, Malwarebytes, AdwCleaner, Hitmanpro y todo ha dado limpio. He metido otro pincho y funciona perfectamente, por lo que entiendo que el virus se encuentra en la tienda y solo me ha jodido ese pincho, pero ahora estoy un poco acojonado por si al intentar abrir el acceso directo he ejecutado algún tipo de script o algo por el estilo.

¿Vosotros que pensáis chicos? Está mi pc limpio o debería hacer algo mas para comprobarlo

PD: En servicios no encuentro nada que se llame movemenoreg.vbs

PD2: Investigando un poco mas estoy viendo que según el motor de virustotal malwarebytes no detecta movemenoreg.vbs por lo que me estoy cagando un poco mas

y34hl0ve

He estado siguiendo algunas guías y parece ser que el proceso se suele cargar a la hora de iniciar el pc o que se puede esconder en un archivo desktop.ini.

Dejo por aquí unas capturas donde no veo nada raro

Pero en una guía para la eliminación de este virus (si es que lo tengo, que creo que sí ya que he iniciado el acceso directo que me venía) me dice que busque archivos desktop.ini en minúsculas y que pesen 1k, he encontrado varios creados el 13/8 y los he pasado por virus total, la mayoría pone que están firmados por windows pero hay cuatro que me tienen mosqueado, os dejo por aquí el análisis de virus total y el link de descarga

En muchos sitios dice que me descargue USBFix free tanto para el usb como para el usb, pero no me fío nada.

Edit: He estado buscando vídeos y en varios sale el virus con el nombre de wscript y en el everything me aparece esto, creo que todo es fiable, pero por si acaso. Tampoco aparece nada con el nombre movemenoreg.vbs o las filas .vbs no parece que haya nada raro

1 respuesta
Daidum

#485 Básicamente tienes un script camuflado en ese proceso de wscript.exe que está cambiando los atributos a las unidades flash.

Echale un ojo a esto;

https://answers.microsoft.com/en-us/protect/forum/all/remove-shortcut-virus-iexplorevbs-from-flash-drive/2c723e43-30e0-43c8-bca4-953e16427aed

El .vbs no tiene que llamarse igual que el del ejemplo que te mando.

Pudiera ser que solamente necesites restablecer los atributos sobre la unidad flash y que tu equipo no esté "infectado".

Lo sabes metiendo otro usb en ese equipo o restableciendo los atributos con attrib -h -r -s /s G:*.* (G es la letra de la unidad flash, en tu caso la que sea) y reiniciando el equipo. Si al reiniciar vuelve a estar con el acceso directo, todavía sigue ejecutandose el script al inicio.

1 respuesta
y34hl0ve

#486 He metido 2 pinchos distintos en el ordenador y ha ninguno le ha pasado nada, el que se me jodió es porque se lo deje a mi madre y lo llevó a una tienda random para imprimir

No tengo ningún proceso llamado wscript.exe ni el iexplore.vbs, los wscript que aparecen en la foto son encontrados con Everything, pero parece que están en rutas seguras no? Aparte que el problema con el pincho es de hoy y esos Wscript.exe llevan mas tiempo en el ordenador.

1 respuesta
Daidum

#487 No estoy seguro si se cargaba con el autorun o al abrir el acceso directo, sea como sea, tu equipo parece que no tiene nada.

Ejecutando el comando attrib has conseguido acceder a los datos o directamente has formateado el usb (al no haber nada importante)?

1 1 respuesta
y34hl0ve

#488 El usb lo he dado por pedido, tenía cosas importantes dentro pero tengo copias en un disco duro externo y me da pánico volver a conectarlo jajaja lo que me da cosa es el ordenador este infectado aunque no tiene señales de ello.

1 respuesta
Daidum

#489 No hombre, por perdido no lo des jajaj. Si quieres recuperar lo que hay dentro, lo que te comento del comando attrib, y si no lo ves claro, format y a correr.

1 1 respuesta
y34hl0ve

#490 No sé, lo mismo pruebo en otro ordenador cuando me vea mas animado jajaja

Ahora estoy pensando, cuando me ha dado por mirar la fecha de modificación del acceso directo que me salia aparecía la de hoy. Entiendo que eso ha sido por haber intentado abrirlo, ya que si lo hubiera infectado con mi propio ordenador estaría infectando todos los pinchos que conecto no?

1 respuesta
Daidum

#491 Exacto, a parte, tendrías el proceso de wscript.exe pululando por ahí...

1 1 respuesta
y34hl0ve

#492 Pues de Wscript solo tengo lo que hay en la foto (que parece legit) y en procesos no hay nada con ese nombre.

Me quedo algo mas tranquilo, aunque voy a estar varios días rayado y deseando que el virus estuviera solo en la tienda esa jajaja

B

Resultado: Programa malicioso, 2 fuentes vs 1.

El resultado de las vm

Xlonicop

Recomiendo el programa Total Uninstall, pero la version 2.30, es manejable y simple y siempre te saca los archivos mas importantes de la instalacion y del registro, la mayor parte de la instalacion, ademas se le puede utilizar para cuando uno navega por internet y despues quiere borrar todos los temporales, incluso los que el navegador no borra e incluso el mismo ccleaner no borra.
Lo mejor de este programa es que es muy, pero muy util para cuando instalas un programa que no sabias que tenia virus o porque te dijeron que el programa tenia falsos positivos, pero en realidad tenia malware, asi despues desintalas ese mismo programa de manera eficiente sin dejar rastro y si de casualidad algun archivo
Tambien es muy util para saber que cosas instala un programa y donde los instala, tanto en el disco duro, como en el registro.

Kassie

Yo uso el revo para desinstalar desde hace unos años y muy contento

2 1 respuesta
9 días después
Xlonicop

#496 Lo que pasa con revo, es que no te desintala absolutamente todo, en cambio Total Uninstall en su version version 2.30 que es gratuito y solo pesa 763 kb y tambien posee una version portable, con ese programa tenes un mayor control de lo que instalas o desintalas en el ordenador, ya que te muestra todos los archivos y claves de registro que te instala un programa.
Ademas como comente, no solamente sirve para programas, si no para cuando navegas por internet, ya que borra archivos y claves de registro que se forman cuando navegas, tambien sirve si quieres abrir un programa portable de los que no instalan nada, pero si dejan claves en el registro o archivos sueltos que no son borrados, otra forma de usarlo es con los archivos keygen, para poder usarlos y no te quen poquerias de virus, si es que esta infectado y los archivos que no puedas borrar los sacas en modo a prueba de errores con el mismo programa.
Tambien te puede ser de mucha utilidad cuando eres un desarrollador de programas y aplicaciones.

1 respuesta
-Khaezen

#497 El Revo también desinstala los archivos basura y registros que crea el programa al instalarse. Para mi es un programa 10/10.

1 respuesta
Xlonicop

#498 Este programa que yo comento pesa solo 763 kb y tiene un portable igual de pequeño, y es totalmente gratuito y revo es un programa de paga, por lo menos en su version pro:

https://www.revouninstaller.com/buy-now-revo-uninstaller-pro/

Aunque no mires lo que comento como si te estuviera obligando a usarlo, solo es una recomendacion, ademas, este programa te muestra todos los archivos o clves que el mismo windows crea al estar utilizandolo en cualquier tarea que quieras, muy util si sabes de programacion o sabes un poco mas que el promedio de informatica, para saber que programa o servicio pudo haber ocasionado inestabilidad en el sistema o algun error, saludos.

neo-ns

#464 Yo actualmente no se como anda ESET NOD32 Antivirus, pero en su dia, en la empresa que trabaje que es partner y sigue siendolo.

Al ESET se las metian por donde querian.....

Con el que llevo años "unos 5" y me ha dado buen resultado y por ahora no he tenido ningun problema y lo ha parado todo: Sophos Endpoint "gama empresarial". Desplegado en mas de 300 equipos.

Kaspersky/Norton en su dia, pero llegaron un punto que consumian muchisimos recursos.

18 días después
B

spoiler

¿Por qué me sale siempre esa extensión si no la tengo? la pongo en cuarentena y la elimino pero siempre acaba saliendo. El ordenador me va perfecto, tengo kaspersky internet security y malwarebytes, todos comprados originales y todo perfecto, pero en adwcleaner siempre me acaba saliendo esa mierda.

He visto en la web de adaware y esta ruta no existe: C:\Users\YOUR_USER_NAME\AppData\Local\Google\Chrome\UserData\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim
De hecho mfhnkgpdlogbknkhlgdjlejeljbhflim no me aparece en ningún sitio según mi pc.

PD: Ahora está recién eliminado y no lo detecta, pero al tiempo hago chequeo de control y vuelve a estar.

2 respuestas
GePe

#501 Te la volverá a bajar de tus datos de sincronización en la nube. Borra los datos de sincronización de tu cuenta de google y elimina la extensión local con el malwarebytes.

1 respuesta
Devilpower

#501 Muchas veces es por que chrome lo tendras sincronizado con otros pcs o algo asi, la eliminas y al abrir chrome se sincroniza de nuevo.

Prueba a quitar la sincronización de chrome, pasa el scanner, eliminalo, abre chrome y scanea otra vez.

Me paso a mi con un par de extensiones.

1 respuesta
B

#502 #503 la cosa es que cuando lo detecta, yo no tengo esa extensión instalada en el ordenador. Pero es que en ningún pc tengo eso, y solo me lo detecta en este.

1 respuesta
Devilpower

#504 Lo tendras en chrome, por mucho que el malwarebits te lo quite, chrome te lo volvera a meter por que si.

B

Os suena un notepad.exe que da por culo con alto consumo de cpu?
Si no toco nada, el pc en unos 20 segundos o asi tiene un notepad.exe consumiendo un 19% de cpu, conforme muevo el raton, desaparece. Nisiquiera estoy usando el notepad. He conseguido darle clic derecho y ver ubicación y no esta en la ruta normal, sino en sysWOW64. Me está rayando bastante.

1 respuesta
AikonCWD

#506 mira el hilo de troyano minador

1 1 respuesta
B

#507 He ejecutado esto y apartentemente ya no lo hace:

takeown /f "%WINDIR%\notepad.exe" /a
icacls "%WINDIR%\notepad.exe" /remove "Administrators" "Authenticated Users" "Users" "System"
takeown /f "%WINDIR%\System32\notepad.exe" /a
icacls "%WINDIR%\System32\notepad.exe" /remove "Administrators" "Authenticated Users" "Users" "System"

Estoy un rato mirando y ya no se genera ningún proceso raro que suba la cpu, pero he mirado el hilo que dices y entiendo que el bicho estaba alojado en el notepad como podría haber sido otro archivo. Haré todos los pasos que pones de todas formas, y a ver que tal. Gracias.

3 meses después
B

#1 He probado NetAdapterRepair para reinstalar el adaptador de Wireguard pero no lo he conseguido. No sé porqué pero desde hace unos días no se me instala el adaptador ni instalando la aplicación oficial de wireguard. Creo que es por desinstalar una vpn con revo y no hacer backup antes pero no le encuentro mucho sentido a que no pueda reinstalarlo.

¿Conoces algún programa o web para instalarlo manualmente? He buscado y no he encontrado nada.

2 meses después
Letalius

Voy a hacer un necromancing. Alguien sabe si puedo migrar mis 2fas de google a authy?

1 respuesta