¿Como saber si se elimino el Virus Backdoor:Win32/Bladabindi!ml?

Me aparece Incompleto

Hola @MR.PIKLE:

Vamos a ver si tienes presencia de ese y otros malewares:

:one: CCleaner

Descarga, instala y/o actualiza Ccleaner Consulta si es necesario su manual

  • Abres Ccleaner. Pestaña Custom Clean (Limpieza personalizada). Dejas como está configurada predeterminadamente :arrow_forward: haces clic en Analyze (Analizar) y esperas que termine :arrow_forward: clic en Run Cleaner (Ejecutar Limpiador).

:two: Malewarebytes Anti-Maleware

• Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware , revisa en detalle el manual, para que sepas usarlo y configurarlo.

  1. Realiza un Escaneo Personalizado. Tienes instrucciones en su manual, apartado Análisis Personalizado

  2. Tras finalizar el escaneo envíame el informe que guarda Malewarebyte. Instrucciones para encontrar y enviarme el informe lo tienes en el Manual, apartado Informe del Análisis

:three: AdwCleaner Descarga AdwCleaner | InfoSpyware en el escritorio.

  • Cierra también todos los programas que tengas abiertos.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.)
  • Pulsar en el botón Escanear , y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar .
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas .
  • Guardas el reporte que te aparecerá y lo anexas en un mensaje.
  • El informe también se puede encontrar en C:\Archivos de programa o C: Archivos de programa(x86), si el sistema es de 64 bits –Adwcleaner- AdwCleaner[CX].txt

:four: ZHPCleaner

Ejecutar ZHPCleaner siguiendo su manual. Anexas el reporte en un nuevo mensaje del foro.

:five: CCleaner

  • clic en la pestaña Registro :arrow_forward: clic en buscar problemas y esperas que termine :arrow_forward: clic en Reparar Seleccionadas y haces una copia de seguridad

imagen

Por favor no pegue directamente los informes en su mensaje de respuesta ya que quedaría ilegible y no podré analizarlos dificultando que tus problemas sean resuelto. Sigue el método 2 o 3 indicados en la siguiente guía:

Cómo pegar informes en un mensaje

# -------------------------------
# Malwarebytes AdwCleaner 8.0.9.0
# -------------------------------
# Build:    01-11-2021
# Database: 2021-01-11.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-12-2021
# Duration: 00:00:37
# OS:       Windows 10 Home Single Language
# Cleaned:  44
# Awaiting reboot:1
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.HPAudioSwitch   Folder   C:\Program Files (x86)\HP\HPAUDIOSWITCH
Deleted       Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{719B64EC-92DB-4B5C-85DC-D0DD6B0DE43E} 
Deleted       Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch
Deleted       Preinstalled.HPAudioSwitch   Task   C:\Windows\System32\Tasks\HPAUDIOSWITCH
Deleted       Preinstalled.HPJumpStartBridge   Folder   C:\Program Files (x86)\HP\HP JUMPSTART BRIDGE
Deleted       Preinstalled.HPJumpStartBridge   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{1E7D6A6F-E28B-4057-BD4F-9989C1F5353D}
Deleted       Preinstalled.HPJumpStartLaunch   Folder   C:\Program Files (x86)\HP\HP JUMPSTART LAUNCH
Deleted       Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DB0BA13E-EEA5-4560-A696-9BF117BDE490} 
Deleted       Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPJumpStartLaunch
Deleted       Preinstalled.HPJumpStartLaunch   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4380D813-39E5-46FD-AC23-FC9A1A8B98AA}
Deleted       Preinstalled.HPJumpStartLaunch   Task   C:\Windows\System32\Tasks\HPJUMPSTARTLAUNCH
Deleted       Preinstalled.HPOrbit   File   C:\Users\94395\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\HP Orbit.lnk
Deleted       Preinstalled.HPOrbit   Folder   C:\Program Files\HP\HP ORBIT
Deleted       Preinstalled.HPOrbit   Folder   C:\Program Files\HP\HP ORBIT SERVICE
Deleted       Preinstalled.HPOrbit   Folder   C:\ProgramData\HP\HP ORBIT
Deleted       Preinstalled.HPOrbit   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{1A083C69-5382-4CF9-8074-80EC050D9FC8}
Deleted       Preinstalled.HPOrbit   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B384505E-0FE1-4A0F-9E92-7C592276E0A4}
Deleted       Preinstalled.HPRegistrationService   Folder   C:\Program Files (x86)\HP\HP REGISTRATION SERVICE
Deleted       Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HP\HP REGISTRATION SERVICE
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP CUSTOMER FEEDBACK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Users\94395\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Users\94395\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{C0ABBA07-B636-47B8-B9E1-BB96D7CD4831}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{56D27851-B9A6-430F-875A-E2D7A3802C7B}
Deleted       Preinstalled.HPSureConnect   Folder   C:\Program Files (x86)\HP INC\HP SURE CONNECT
Deleted       Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY
Deleted       Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Deleted       Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES
Deleted       Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-commandandconqueralliances
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-hp-freegames
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-hp-genres
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-hp-main
Needs Reboot  Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

***** Reboot Required to Complete *****


***** [ Folders ] *****

Cleaning failed   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS

*************************

AdwCleaner[S00].txt - [6595 octets] - [12/01/2021 19:52:21]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Este ya lo habia analizado cuando vi el virus por primera ves.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 14/12/20
Hora del análisis: 14:01
Archivo de registro: 7fc46518-3e4f-11eb-afbd-3c5282d3e0af.json

-Información del software-
Versión: 4.2.3.96
Versión de los componentes: 1.0.1122
Versión del paquete de actualización: 1.0.34371
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 19041.685)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-QT0H8PJ\94395

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 704425
Amenazas detectadas: 1
Amenazas en cuarentena: 1
Tiempo transcurrido: 7 hr, 12 min, 24 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
Malware.AI.2898877895, C:\USERS\94395\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\CACHE\F_008EE3, Se eliminará al reiniciar, 1000000, 0, 1.0.34371, E357ABA41F920776ACC95DC7, dds, 01027895, 7F883BF9C1A7508A1A502A587C513BB8, 73982B6789FE23CF2FE64F7AC331E6F951B67B8F0900FEF74291E14879A1AD93

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
~ ZHPCleaner v2021.1.12.268 by Nicolas Coolman (2021/01/12)
~ Run by 94395 (Administrator)  (12/01/2021 20:27:10)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\94395\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\94395\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : 
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home Single Language, 64-bit  (Build 19041)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (12)
ENCONTRADOS carpeta: C:\Users\94395\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ManyCam.lnk  [Bad : C:\Program Files (x86)\ManyCam\ManyCam.exe](.Visicom Media Inc..)  =>.SUP.VisicomMedia
ENCONTRADOS carpeta: C:\Users\Public\Desktop\ManyCam.lnk  [Bad : C:\Program Files (x86)\ManyCam\ManyCam.exe](.Visicom Media Inc..)  =>.SUP.VisicomMedia
ENCONTRADOS carpeta: C:\Users\94395\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Users\94395\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Users\94395\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Program Files (x86)\ManyCam\ManyCam.exe [Visicom Media Inc. - ManyCam Virtual Webcam]  =>.SUP.VisicomMedia
ENCONTRADOS carpeta: C:\Users\94395\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ManyCam.lnk    =>.SUP.VisicomMedia
ENCONTRADOS carpeta: C:\Users\Public\Desktop\ManyCam.lnk    =>.SUP.VisicomMedia
ENCONTRADOS archivo: C:\ProgramData\KMSAutoS\bin  =>HackTool.WinActivator
ENCONTRADOS archivo: C:\ProgramData\KMSAutoS  =>HackTool.WinActivator
ENCONTRADOS carpeta: C:\Users\94395\AppData\Local\MSfree Inc\kmsauto.ini    =>HackTool.WinActivator
ENCONTRADOS archivo: C:\Users\94395\AppData\Local\MSfree Inc  =>HackTool.WinActivator


---\\  Registro ( Claves, Valores, Datos) (8)
ENCONTRADOS clave: HKEY_USERS\S-1-5-21-3145500986-3124799838-2804663419-1001\SOFTWARE\Visicom Media []  =>.SUP.VisicomMedia
ENCONTRADOS clave: HKCU\Software\Visicom Media []  =>.SUP.VisicomMedia
ENCONTRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2e8350e9-1a70-427d-a2e3-3970efa291bc}\\DhcpNameServer [Bad : 200.52.167.3 200.52.162.137 200.52.170.150]  =>Hijacker.Browser
ENCONTRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{db1285ca-a70b-4261-b62a-1c3567aee47c}\\DhcpNameServer [Bad : 200.52.162.137 200.52.162.137 200.52.160.200]  =>Hijacker.Browser
ENCONTRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e3822b25-456d-4c19-98df-b8d0964f3103}\\DhcpNameServer [Bad : 200.52.162.137 200.52.162.137 200.52.160.200]  =>Hijacker.Browser
ENCONTRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 200.52.162.137 200.52.162.137 200.52.160.200]  =>Hijacker.Browser
ENCONTRADOS clave: [X64] HKLM\SOFTWARE\Wow6432Node\Visicom Media []  =>.SUP.VisicomMedia
ENCONTRADOS clave: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ManyCam [Visicom Media Inc.]  =>.SUP.VisicomMedia


---\\  Resumen de elementos en su estación de trabajo (4)
https://nicolascoolman.eu/2017/03/18/superfluous-visicommedia/  =>.SUP.VisicomMedia
https://nicolascoolman.eu/2020/10/01/preferences-navigateurs-chromium/  =>ChromiumPreference
https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/  =>HackTool.WinActivator
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/  =>Hijacker.Browser


---\\ Resultado de la reparación.
~ ninguna reparación hecha
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK


---\\ STATISTIQUES
~ Items escaneado : 107638
~ Items encontrado : 25
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/16


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto





~ End of search in 00h30mn02s

---\\  Reporte (0)
ZHPCleaner-[S]-12012021-20_57_12.txt

¿Ya puedo usar mi Computadora con normalidad?

Los informes no muestran rastros de Backdoor. Por lo que supongo se habrá eliminado correctamente en el análisis que usted hizo previamente. Sí, puede usar el equipo con normalidad.

Ok, Gracias por ayudar.

Ejecutar DelFix para desinstalar herramientas usadas

Para eliminar algunas de las herramientas usadas, sigue estos pasos:

  • Para hacerlo descarga >>DelFix en tu escritorio. Consulta su manual en caso necesario.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador”)

  • Marca “Remove desinfection tools”.

  • Pulsar en Run.

Al terminar Se abrirá un reporte llamado DelFix.txt, verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc


Gracias a ti por confiar en ForoSpyware . Ha sido un placer ayudarte :handshake:

Nos alegramos que se haya resuelto tu problema. No te olvides de marcar el tema como Solucionado.

SOLUCIONADO

Como recomendación final , te invitamos a seguirnos en nuestros canales de difusión para estar al tanto de los nuevos malwares y cómo prevenirlos:

Blog

Twitter

Facebook

Solo elimine ZHP Cleaner porque no me dio mucha confianza, los demas los conservare para mi Computadora.

1 me gusta

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.