Troyano minador

Lebowski

El mero hecho de que se guarde el .rar o .zip que se descarga a veces de la web de torrents ya compromete la seguridad del PC?

10 días después
M

#52 Hola, muchas gracias por toda la info, haber si alguien me puede ayudar he seguido todos los pasos pero cada vez que borro la carpeta se vuelve a crear automáticamente lo del registro y lo del shell:startup esta borrado.

Un saludo.

1 respuesta
AeRoS

#302 antes de hacer eso tienes que matar procesos, te lo dice claramente.

NiGGaZ

Yo lo tenia y he seguido todos los pasos. Lo único que no me salia era la ruta en el registro del test.au3. Nunca tampoco tuve la cpu al 50 % ni lo notaba lento, pero si que tenia los archivos en la carpeta oculta y los .txt con los loggers. He borrado todo lo que he podido de tus pasos. Si no aparecen mas .txt, se supone que estaria ya limpio no?

1 respuesta
AikonCWD

#304 Exacto, si tras la limpieza no se te vuelven a regenerar los ficheros, logs o claves del registro, estarás limpio.

1 1 respuesta
NiGGaZ

#305 Pero es normal no tener la entrada del registro que te comentaba? Es el único paso que no he visto y se me queda la sensación de no tener todo como debería.

1 respuesta
AikonCWD

#306 Puede que cuando te infectaste, la versión del troyano no metiera esa clave, o que tu AV la haya borrado o vete tu a saber que xD, no tengo respuesta para eso.

1 2 respuestas
NiGGaZ

#307 Oks. Lo importante es que no genere mas claves de registro y logs dentro de programdata. Gracias por el currazo !

7 días después
espikiller

#307 Esto se interpreta como un falso positivo o acestream también nos mete mierda.

***** [ Registry ] *****

Deleted HKCU\Software\Classes\acestream
Deleted HKCU\Software\RegisteredApplications|AceStream
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AceStream
Deleted HKCU\Software\AceStream
Deleted HKCU\SOFTWARE\Classes\Applications\ace_player.exe
Deleted HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts.tslive
Deleted HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts.acestream
Deleted HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts.acemedia
Deleted HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts.acelive
Deleted HKLM\Software\Wow6432Node\Classes\CLSID{79690976-ED6E-403C-BBBA-F8928B5EDE17}
Deleted HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{23056A0F-FD63-4AE0-8FBA-45C4CFC2098D}
Deleted HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D85DBF62-733F-44B3-914F-66E66951013D}
Deleted HKCU\Software\Classes.acestream
Deleted HKLM\Software\Classes.acestream
Deleted HKCU\Software\Classes.tslive
Deleted HKCU\Software\Classes.acemedia
Deleted HKCU\Software\Classes.acelive

14 días después
T

Hoy estaba tranquilamente en casa con ganas de ver una película. Decidí bajar algo en mejortorrent, que hasta ahora siempre había sido de fiar. Me extrañó que se hubiese descargado un archivo .rar, y me extrañó más aún cuando vi que lo que contenía era un archivo .vbe. No obstante, con total ingenuidad, lo ejecuté pensando "no será nada malicioso, los de mejortorrent son de fiar". Mientras hacía el doble click ya me estaba echando las manos a la cabeza. La peor decisión de la noche. Lo que podría haber sido una noche de peli se convirtió en un infierno buscando por internet cómo librarme de este p*** malware miner. La última vez que bajo la guardia de esta manera tan absurda.
Había encontrado el archivo Autoit y me estaba volviendo loco buscando un antivirus que consiguiese eliminarlo y limpiar el registro. Menos mal que por suerte, después de un buen rato de búsqueda, he acabado topando con este hilo. Me lo he leído de principio a fin y me ha parecido apasionante, a pesar de que estaba acojonado sin saber si lo iba a poder eliminar sin tener que formatear.

En resumen, me he creado una cuenta exclusivamente para darle las gracias a @AikonCWD por el trabajazo que se ha dado. Muchísimas gracias, en serio. No podía irme a dormir esta noche sin librarme de este bicho. He seguido los pasos y creo que ya está todo eliminado. Aparentemente no hay rastro del malware.... O eso espero, porque si no el keylogger se va a quedar con la contraseña de mi nueva cuenta XD

PD: sorry por el tochazo, me he motivado escribiendo x)

8 1 respuesta
AikonCWD

#310 Un saludo crack! :)

1
AikonCWD

Perdón el doble-post:

Un user me ha enviado MP, le ha entrado un virus y me ha mandado una copia para ver si lo puedo analizar y hacer una vacuna.
Así que en 10 minutos abriré streaming en twitch para hacerlo en vivo, por si alguien le interesa, quiere ver el proceso, etc... Responderé dudas.

https://www.twitch.tv/aikoncwd

1 respuesta
Sefirot3689

#312 He terminado de petaca en este hilo y resulta que tambien soy un afectado, un pequeño resumen de como hacer para eliminarlo?

Muchas Gracias :)

1 respuesta
espikiller

#313 Si lees las primeras 3 páginas te vale.

1
V

Yo también me he petado (a tiempo) un dropper gracias a AikonCWD:
https://www.virustotal.com/#/file/e361733ea46a1dbb0e8d8afc46315a1c5d79c559e160771b2b979cc52d4489a6/detection

Le he dado medicina de la buena con rkill + adwcleaner + malwarebytes.
Un saludo fucker master :sunglasses:

R

#52

Buenas AikonCWD.
Lo primero darte las gracias por el trabajazo que te has pegado.
Lo segundo decirte que pese a lo poco que controlo de informática, una vez vi la CPU al 100% en el msi dragon center, y vi que en al abrir el administrador de tareas bajaba, me dio por buscar en google y a los pocos minutos llegué aquí. Me he leído el hilo entero y lo he intentado solucionar siguiendo este mensaje tuyo.
El problema es que los procesos que dices no los encuentro. Ninguno de ellos.
Cuando uso el comando shell:startup me lleva a la misma carpeta que a ti pero no hay archivo.
Con el regedit.exe sí encuentro igual que tú un archivo test.au3.
Pero de nuevo hay diferencias en lo de las carpetas. Ninguna se llama como mi pc. La de programdata está pero la otra no, aunque hay otra que no se qué narices es. Y la de roaming está también con alguna que otra contraseña parece, pero si dices que no se han enviado a ningún sitio.. algo más tranquilo me quedo.

Total, que seguramente por ser un inútil de esto no logro ver el mismo caso(igual han modificado algo desde entonces, no se), y me gustaría que me echaras una mano si tienes tiempo y/o ganas, ya que el en primer paso de los procesos ya estoy perdido. O formateo supongo...

Mil gracias de antemano

PD sí, me he registrado únicamente por esto... pero igual me quedo por aquí

2 respuestas
AikonCWD

#316 Jajaj bueno, quizás si tienes antivirus, éste ha borrado de forma automática alguna de las trazas, dejando esos residuos por el disco. También descargaste desde mejortorrent? Si necesitas ayuda lo miramos esta tarde/noche

R

Ostia encima respondes al momento!! Mis dies.
Sí hijo sí, mi suegro que quería "Tras la línea enemiga" en español, y ale, ya me lo han liado.
Como mucho llevo 10-12 días infectado. Lo noté por tener los ventiladores del portátil echando humo, y porque al jugar los FPS bajaban a niveles absurdos.
La cosa es que la actualización de nvidia salió muy mal para los portátiles y coincidió cuando entré en mejortorrent, así que hasta anoche que lo arreglaron le echaba la culpa a la gráfica.

Pues de verdad que te lo agradecería, siempre que tengas tiempo y ganas(sin presiones vamos).
Si te apetece esta tarde sobre las 7 yo podría en principio.
Un saludo y gracias.

1 respuesta
AikonCWD

#318 Yo hasta que no acueste a la niña no podré ponerme en el PC, así que sería sobre las 21h o así.

1 respuesta
R

#319
Es muy posible que esté también para esa hora.
En todo caso lo hablamos si quieres por privado que no desvirtuemos el hilo.

1
guilles

Me he leído el hilo enterito después de ver que me había descargado un zip y que la extensión era .vbe.
Muerte a Mejortorrent.

Y gracias a @AikonCWD y demás por el curro que os habéis marcado, me quedo más tranquilo después de solucionarlo.

zazgan

Los que usáis torrent lo mejor que podéis hacer es instalaros el plugin del qbitorrent y os olvidáis de entrar en webs de torrents.

https://github.com/qbittorrent/search-plugins/wiki/Unofficial-search-plugins

1 1 respuesta
-

#322 ¿Que plugin?

1 respuesta
zazgan

#323 Un buscador de torrents.

Buscas lo que quieres clickeas y a bajar.

1 respuesta
-

#324 Me dice que plugin no soportado :/.

1 respuesta
zazgan

#325 Seguro que es porque necesitas instalar python.

1 respuesta
-

#326 Listo arreglado.

Pero por ejemplo en mejortorrent si pongo La casa de papel, me sale pero no me deja descargar nada.

1 respuesta
zazgan

#327 Si a veces pasa , no tengo ni idea del porque.

Eyvindur

¿Estoy jodido, no? No sé ni cómo he llegado hasta aquí y me ha dado por mirarlo.

#316RaTa360:

El problema es que los procesos que dices no los encuentro. Ninguno de ellos.
Cuando uso el comando shell:startup me lleva a la misma carpeta que a ti pero no hay archivo.

Eso me pasa a mí también, no tengo ni procesos ni sale nada con el shell:startup

1 respuesta
R

Vale ahora al reiniciar me dice "deseas darle permisos a regedit para tal..."
Si le doy a que no ya no hay virus.
He borrado carpetas y mañana veremos...