Troyano minador

hailttthief

#329 Yo tampoco tengo procesos creo que ha sido tras pasarle el adwcleaner

The-Guest

Pues me ha dado por revisar el PC y tenía uno de los procesos y la carpeta de C: la he borrado y de momento no me ha vuelto a salir, a ver cuando lo encienda mañana. Gracias @AikonCWD

1 mes después
R

¡Hola a todos!

Me he registrado sólo por este hilo, porque sorprendentemente es el único sitio que he encontrado donde se habla de este problema. Me lo he leído casi entero, muchísimas gracias por tu labor desinteresada, @AikonCWD

Voy a intentar ser breve: Un amigo me recomendó la página mejortorrents. Me supo rarísimo que viniera en un .rar, pero confiaba en mi amigo y no le di muchas vueltas. Y claro, acabé picando.

Sé que estoy infectado por que tengo esto en la carpeta random en C:

Y bueno, pues iba a dirigirme a seguir los pasos que hay en la página 2 de este hilo para eliminarlo. Cuál es mi sorpresa que no encuentro los procesos en el monitor de tareas, no hay nada en la carpeta del "Menú Inicio", no veo nada del troyano en esa ruta del registro, y no hay ninguna carpeta nueva o extraña en Program Data ni en Roaming. No sé si es que han actualizado el virus y tiene otra forma de esconderse y otras rutas, o si no llegó a instalarse correctamente (Lo cual dudo, porque no uso ningún antivirus). No sé si tiene algo que ver, pero tengo Windows 10 enterprise, LTSB (Lo mismo parezco estúpido aportando este dato, pero por si acaso... xD).
A mí lo de que usen mi PC para minar no me preocupa tanto, lo que me jode muchísimo es el keylogger.

Sé que el hilo lleva como un mes inactivo, pero espero que alguien pueda aconsejarme. ¿Hay algo que pueda hacer? ¿Hay garantía 100% de que se elimine con ADWcleaner+rKill+malwarebytes o mejor paso directamente a formatear? Quisiera evitar esto último, ya que me llevaría el día entero volver a instalar todo y dejar mi PC como lo tengo ahora, pero si no hay más remedio...

¡Gracias de antemano!

3 respuestas
AikonCWD

#333 dame 10 minutos y ahora te contesto

AikonCWD

#333 Por lo que comentas, posiblemente el troyano no se haya instalado correctamente debido a que tu antivirus (el propio del windows10) lo haya detectado. El VBS no deja de ser un pequeño instalador (dropper) que activa 2 malwares diferentes: un minero y un keylogger. Luego añade las rutas en el menu inicio y registro para hacer que se auto-ejecuten.

Puede que hayan actualizado el troyano con una versión corrupta e inestable o sencillamente los antivirus lo hayan detenido a mitad de su ejecución. En cualquier caso si hay borras esos ficheros (los de la C:) y no aparecen al reiniciar, seguramente estés limpio.

Luego pasa el combo de rKill + Adwclear + reboot + malwarebytes + reboot. Con eso deberías eliminar cualquier rasto oculta, ya que el troyano de mejortorrent tiene su tiempo y los antivirus lo están empezando a detectar fácilmente

Un saludo

1 respuesta
R

#335 ¡Muchas gracias! No esperaba una respuesta tan rápida.

Una cosa, si el propio Windows 10 le paró los pies al virus... ¿No debería haber un registro de ello? Porque el historial de Windows Defender está vacío, como si no hubiera pasado nada.

De todas formas, me dejas mucho más tranquilo. Haré eso que dices para estár más seguro. Gracias de nuevo.

1 respuesta
AikonCWD

#336 Si lo paró, debería existir ese log.... si no ves nada significa que el virus simplemente lo han actualizado y la nueva versión no funciona bien.

1 respuesta
R

#337 Pues no, no veo nada, por eso te lo comenté, por si acaso. En fin, menos mal. Yo es que temía que al haber pasado tanto tiempo desde que lo analizaste al principio de este hilo, lo hubieran actualizado y hubiese sido más avanzado y difícil de eliminar.

Gavilan

Hola buenas, le he pasado el Malwarebytes trial y me detecta un troyano que me pone el pc al 100% de uso de cpu, me lo pone en "cuarentena" pero esto sigue =, alguna idea? por que loqu eponeis en la pag 2, o soy muy malo o no funcina nada de lo que me bajo, help pls :(

1 respuesta
AikonCWD

#339 buenas, no necesariamente te has tenido que infectar con este mismo troyano, quizás sea otro que también use la CPU para minar.
Recuerdas si has entrado a mejortorrent y has ejecutado el zip?

Gavilan

si, ha dido ahi, ni me habia dado cuenta, era el 1º enlace de google y sí lo he abierto.

O

Buenas! Pues tras diez años sin un virus, ayer caí como un principiante. He intentado realizar el proceso de la segunda página del hilo, pero mi particularidad es que los procesos conhost, systeminfo y vbc no aparecen y la carpeta oculta con el nombre del PC, tampoco. En cambio, en la carpeta Program Data y en el registro, ahí están los malditos AutoIt y au3.

Anoche pasé Malwarebytes, RKill y AdwCleaner, pero la maldita carpeta con el numerito reaparece. Esta mañana el caso ha ido a peor. En c/Program Data tengo ya 20 carpetas replicadas con nombres raros, aunque tengo guardado los archivos originales descomprimidos por si me podéis echar una mano.

Cualquier ayuda se agradecerá.

Saludos y gracias por adelantado

mxz239

Aún no se le ha concedido a @aikonCWD el CT de MINER DESTROYER?

RIOT

2 1 respuesta
NueveColas

#343 Es el gud, no se puede ser más

1
T

Hola Mediavidanos,
Llevo un mac y me llegue descomprimir el Zip pero sin abrir el .vbe que no me sonaba de nada.
Existe algun modo averiguar si mi ordenador esta afectado o no p.f.?. Algunos sintomas que detectar?
Gracias de antemano por vuestra gran ayuda cracks.
Un abz

1 respuesta
AikonCWD

#345 vbe no se ejecuta por un MAC jamás, puedes estar tranquilo

pkjn

Los cabrones siempre que intentas bajar un torrent te intentan colar el rar siempre, luego cancelas y ya te baja el torrent directo.

Me paso hace un año o asi y tambien cai.

Deben de tener una pila de gente minando sin enterarse...

espikiller

Pero es tan sencillo evitar que entre como cancelar la descarga del primer rar? No sé yo.

1 respuesta
B

Para cualquier que no tenga un minimo de conocimiento les meten un virus que les obliga practicamente a formatear el equipo.

Alguien deberia joderles a ellos un poco.

Macholoko

Yo me enteré al poner el coretemp después de un OC y digo coño está a pico y pala el 2500k porque si. Al abrir el administrador se escondía.

No me complique mucho, format C y ahora si he metido malwarebytes y extensiones al Chrome porque vaya tela.

pkjn

#348 Una vez picas, porque dices nah lo meterian en un rar y cuando te das cuenta, ZASca

Ahora ya es cancelar y ale

Mafioso14

Como se si tengo un bicho de estos usando mi cpu para minar?

2 respuestas
jesusml

#352 debería subir el % de uso una burrada sin hacer nada imagino.

AikonCWD

#352 has descargado pelis de mejortorrent?

2 respuestas
L3RYC

#354 Hola Aikon, me pasa como al usuario de #333 que no he encontrado ningun archivo de los que enseñas en la pagina 2, unicamente tenia la carpeta del programa y el proceso. He borrado estos y reiniciado y no aparecen ya.

Tengo el antivirus Kaspersky y me salía un aviso de bloqueo a una IP.
Entiendo que el antivirus ha hecho su efecto y no estoy infectado? paso los programas que recomendabas antes para asegurarme de la limpieza?

1 respuesta
espikiller

#355 pásalos, mínimo adwcleaner y malearebytes.

Mafioso14

#354 No,pero imagino que habrán más sitios con virus similares no?

luciacoptero

Si he descargado el Zip pero ha saltado el Windows defender y no lo he abierto, se supone que no tengo nada no? Pase el adw cleaner y no me pilló nada

B

Me he leído el hilo entero y es fascinante.
La cosa es que hace como un mes me dio por mirar la carpeta de Roaming (la razón, no lo sé) y vi que también tenía este mismo virus, pude ver los archivos logs con todo lo que había escrito pero solamente había actuado por un corto periodo de tiempo.

Lo curioso es que en diciembre de 2017 formateé el pc, y a los días noté que el consumo de cpu era super alto incluso en idle, así que ya sé que el culpable era este bicho (La fecha de los archivos coincidia)
Bien, ahora hace un par de semanas volvía a formatear windows pero esta vez utilizando la opción de recuperación que te da windows10, pero borrando todo.
Sin embargo, noto que al abrir el administrador de tareas el consumo de cpu está muy alto simplemente navengando, en torno al 99%, una vez se abre el administrador de tareas, el consumo de cpu ya estabiliza.
He mirado la carpeta de roaming y parece que todo está en orden.

¿Debería preocuparme o es simplemente un bug visual?

1 respuesta
AikonCWD

#359 tiene pinta que tienes un minero en tu PC, quizás no esta versión del virus, pero sí de alguna parecida.

1 1 respuesta