Ataque virtual, hacking or virus .LNK /Caphyon

Eliminar Malwares
24

Hola @CxW7Gab:

Ahora si que has detallado bien el problema todo es mas claro.

Segun Microsoft te pescaste una variante de Ransom:Win32/Reveton

Los síntomas que es muy parecido a lo que te pasa.

Ransomware más antigua como Reveton bloquea las pantallas en lugar de cifrado de archivos. Se muestra una imagen de pantalla completa y, a continuación, deshabilitar al administrador de tareas. Los archivos son seguros, pero son eficazmente inaccesibles. La imagen contiene normalmente un mensaje reclamar ser desde la aplicación de la ley que dice que el equipo se ha usado en actividades de cybercriminal no es válido y necesidades bien que se pagará. Por este motivo, Reveton es que llamamos “Policía troyano” o “Policía ransomware”.

1.- Realiza los pasos indicados en el siguiente enlace, subiendo uno de los archivos encriptados para saber si hay un descifrador para el:

2.- Luego Realiza lo siguiente:

Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

3.- Inicias tu ordenador en >>> [size=2]Modo Seguro[/size].

4.- Luego:

Inicio >>> Ejecutar >>> Escriba notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:


CLOSEPROCESSES:
start
Tcpip\..\Interfaces\{221A7E51-8A45-4978-A12D-EDDF7778477A}: [NameServer] 9.9.9.9
Tcpip\..\Interfaces\{221A7E51-8A45-4978-A12D-EDDF7778477A}: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{F83B8505-F66F-463B-9B71-78B7CC7A17B2}: [DhcpNameServer] 10.0.1.1
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_31_0_0_153.dll [2018-11-24] ()
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_31_0_0_153.dll [2018-11-24] ()
CHR Extension: (PSafe Segurança Online) - C:\Users\ATV_Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\higfhiimhkcmfppmdckdpkdcdolcjooo [2018-12-04]
S3 cphs; C:\Windows\SysWow64\IntelCpHeciSvc.exe [474112 2018-03-15] (Intel Corporation) [File not signed]
S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X]
S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X]
S3 btath_avdt; system32\drivers\btath_avdt.sys [X]
S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X]
S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X]
S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X]
S3 BTATH_VDP; system32\drivers\btath_vdp.sys [X]
2018-12-04 14:25 - 2018-10-27 20:03 - 000000000 ____D C:\Users\ATV_Admin\AppData\Local\Opera Software
18-12-04 14:23 - 2018-12-04 14:23 - 000000000 ____D C:\Users\ATV_Admin\AppData\Local\ESET
2018-12-04 14:21 - 2018-12-04 14:21 - 000000000 ____D C:\Users\ATV_Admin\AppData\Local\AVAST Software
2018-12-04 14:01 - 2017-02-08 14:04 - 001159912 _____ (Opera Software) C:\Users\ATV_Admin\Downloads\OperaSetup.exe
2018-12-04 14:00 - 2018-10-27 12:45 - 168267120 _____ (Microsoft Corporation) C:\Users\ATV_Admin\Downloads\msert.exe
2018-12-04 14:00 - 2018-10-27 11:18 - 001889656 _____ (Oracle Corporation) C:\Users\ATV_Admin\Downloads\JavaSetup8u191.exe
2018-12-04 14:00 - 2018-10-12 09:45 - 000178320 _____ (AVAST Software) C:\Users\ATV_Admin\Downloads\avast_free_antivirus_setup_online_cnet_2.exe
2018-12-04 14:00 - 2017-01-17 01:35 - 006334872 _____ (AVAST Software) C:\Users\ATV_Admin\Downloads\avast_free_antivirus_setup_online (2).exe
2018-12-04 14:00 - 2016-06-20 19:32 - 022851472 _____ (Malwarebytes ) C:\Users\ATV_Admin\Downloads\mbam-setup-cnet.35891-2.2.1.1043.exe
2018-12-04 11:36 - 2018-11-06 00:54 - 000002338 _____ C:\Users\ATV_Admin\Desktop\as_15C9.tmp.txt
2018-12-04 11:36 - 2018-11-06 00:53 - 000002338 _____ C:\Users\ATV_Admin\Desktop\as_7880.tmp.txt
2018-12-04 11:36 - 2018-11-01 22:33 - 000001434 _____ C:\Users\ATV_Admin\Desktop\scan_181101-232615.txt
2018-11-21 11:56 - 2018-11-21 15:15 - 000000000 ____D C:\ProgramData\Kaspersky Lab
2018-11-21 11:53 - 2018-11-21 11:54 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
018-11-20 20:37 - 2018-11-20 20:43 - 000000000 ____D C:\Rem-VBSqt
2018-11-20 19:21 - 2018-11-20 19:21 - 000768736 _____ C:\Users\Tessa\Downloads\Download Rem-VBSworm.pdf
2018-11-16 15:05 - 2018-11-16 15:05 - 000000000 ____D C:\ProgramData\Caphyon
2018-11-16 15:04 - 2018-11-16 15:04 - 000001913 _____ C:\Users\Public\Desktop\NordVPN.lnk
2018-11-16 14:54 - 2018-11-16 15:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NordVPN
() C:\Program Files (x86)\NordVPN\nordvpn-service.exe
C:\Program Files (x86)\NordVPN
R2 nordvpn-service; C:\Program Files (x86)\NordVPN\nordvpn-service.exe [437200 2018-11-06] ()
R3 tapnordvpn; C:\Windows\System32\DRIVERS\tapnordvpn.sys [35592 2018-06-07] (The OpenVPN Project)
2018-12-04 14:25 - 2018-12-04 14:25 - 000000000 ____D C:\Users\ATV_Admin\AppData\Local\NordVPN
2018-12-04 14:22 - 2018-12-04 14:22 - 000000000 ____D C:\Users\ATV_Admin\AppData\Roaming\NordVPN
2018-12-04 14:01 - 2018-11-11 20:43 - 013579176 _____ (NordVPN) C:\Users\ATV_Admin\Downloads\NordVPNSetup.exe
2018-11-24 19:11 - 2018-11-24 19:11 - 000000000 ____D C:\ProgramData\NordVpn
2018-11-19 18:54 - 2018-11-19 18:54 - 000000000 ____D C:\Program Files (x86)\NordVPN network TAP
2018-11-19 15:52 - 2018-11-19 17:35 - 000000000 ____D C:\Users\TEMP.Tessa-VAIO.000\AppData\Local\NordVPN
2018-11-16 17:32 - 2018-11-16 17:33 - 003426208 _____ (NordVPN) C:\Users\Tessa\Downloads\NordVPNTapSetup.exe
2018-11-15 23:03 - 2018-11-15 23:04 - 000000000 ____D C:\Users\TEMP.Tessa-VAIO\AppData\Local\NordVPN
2018-11-15 23:02 - 2018-11-15 23:02 - 000000000 ____D C:\Users\TEMP.Tessa-VAIO\AppData\Roaming\AVAST Software
2018-11-11 20:56 - 2018-11-24 19:11 - 000000000 ____D C:\Users\Tessa\AppData\Local\NordVPN
2018-11-11 20:53 - 2018-11-16 15:04 - 000000000 ____D C:\Program Files (x86)\NordVPN
2018-11-11 20:44 - 2018-11-16 14:32 - 000000000 ____D C:\Users\Tessa\AppData\Roaming\NordVPN
2018-11-11 20:43 - 2018-11-11 20:43 - 013579176 _____ (NordVPN) C:\Users\Tessa\Downloads\NordVPNSetup.exe
018-11-06 00:54 - 2018-11-06 00:54 - 000002338 _____ C:\Users\Tessa\Desktop\as_15C9.tmp.txt
2018-11-06 00:53 - 2018-11-06 00:53 - 000002338 _____ C:\Users\Tessa\Desktop\as_7880.tmp.txt
2018-12-01 23:33 - 2018-10-08 10:23 - 000000000 ____D C:\Users\Tessa\AppData\Local\AVAST Software
2018-12-01 23:33 - 2018-10-08 10:12 - 000000000 ____D C:\ProgramData\AVAST Software
2018-11-22 15:49 - 2018-10-08 10:21 - 000000000 ____D C:\Windows\System32\Tasks\Avast Software
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {89879B9E-DEBC-4A26-AC4E-75F56B45A85E} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2018-10-29] (AVAST Software)
Task: {89EDE9DD-280E-485B-A98C-4BFA6311ACB3} - System32\Tasks\{7E8C366A-D0AC-47E9-A58A-9C90B2BE827F} => C:\Windows\system32\pcalua.exe 
C:\Windows\system32\pcalua.exe
2018-11-06 06:56 - 2018-11-06 06:56 - 000437200 _____ () C:\Program Files (x86)\NordVPN\nordvpn-service.exe
2018-05-24 07:45 - 2018-05-24 07:45 - 000250368 _____ () C:\Program Files (x86)\NordVPN\x86\Liberation.Native.Firewall.dll
FirewallRules: [{6594D6DE-CCBA-4D7A-A134-0E99C0E5DF6F}] => (Allow) C:\Program Files\Opera\56.0.3051.36\opera.exe
C:\Program Files\Opera
FirewallRules: [{0539C7D8-2AAB-48FB-AF12-DB7D2349ED46}] => (Allow) C:\Program Files\Opera\56.0.3051.43\opera.exe
FirewallRules: [{109E1E3B-42DE-4DC3-AE86-928DE51E08AB}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
FirewallRules: [{74794B46-B634-4F4E-858E-67124C0BAADC}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
FirewallRules: [{835B22BC-EAB9-455A-BFE5-BEC732F478A3}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
FirewallRules: [{2286406A-0087-4F03-A294-67373373FFBE}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
C:\Program Files\AVAST Software

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

end
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe o Frst64.exe según el caso y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

  • Ejecute Frst.exe/Frst64.exe.
  • Presione el botón Fix y aguarde a que termine.
  • Si por alguna razón le pide reiniciar, lo permite
  • La Herramienta guardara el reporte en su escritorio (Fixlog.txt).
  • Lo pega en su próxima respuesta.

Cualquier problema vienes y lo comentas, hay ademas de malwares muchos residuos de desinstalaciones de tantas herramientas.

Salu2.