Ayuda eliminar troyano jusched.exe

Rathian · 13 Septiembre, 2023 17:41

Hola Necesito ayuda para eliminar el troyano jusched.exe que ha sido detectado por malwarebytes antimalware.

Recién acabo de instalar windows 10 y después de actualizar con el windows update procedí a instalar el antimalware con la sorpresa que tengo de repente una alerta de troyano.

El archivo se encuentra en C:/windows/jusched.exe

Y tiene algo que ver con la página monerooceans.stream

Cuando vi eso me puse a investigar y encontré el proyecto en github:

Abriendo el link que dice ahí para verificar el funcionamiento del programa efectivamente muestra que está trabajando, ya que dice “mining…”

Por favor, que puedo hacer para eliminarlo ya que no puedo terminar el proceso ni eliminarlo manualmente.

De paso, que addon para mozilla firefoz recomiendan para quitar la publicidad?

JCTecn1cal · 16 Septiembre, 2023 06:36

Hola @Rathian ¡Te damos la Bienvenida a los foros de InfoSpyware!

Como estas seguro de que tu equipo esta infectado, deberíamos empezar con un procedimiento “básico” para detectar y eliminar malware en tu sistema. Dicho procedimiento se basa en nuestra guía de detección/eliminación con algunos ajustes

Tomando estas consideraciones en cuenta Por favor, realiza lo siguiente:

Conecta cualquier dispositivo extraíble como pendrives USB, tarjetas SD o discos duros externos que hayan tenido acceso al equipo. Debes mantenerlos conectados durante todo el procedimiento

Deshabilita tu Antivirus y toda protección residente que tengas para que no interfieran en la ejecución de las herramientas. Mantenlos deshabilitados durante todo el procedimiento

Descargue y ejecute la utilidad Rkill by Grinler (renombrada bajo el nombre de “iExplore.exe”) para evitar el bloqueo de los malwares. Una vez que esta fue ejecutada, es importante no reiniciar el sistema hasta que se le solicite.

rkill

Descargar Malwarebytes 4.x en el Escritorio. Lo instalas y ejecutas Realizas un Análisis Personalizado a tu equipo siguiendo las siguientes instrucciones

Con esta opción podemos seleccionar ficheros, discos, unidades Usb, memorias o dispositivos que queramos analizar.

Se recomienda usar esta opción cuando queramos buscar específicamente en algún lugar, disco o memoria usb de nuestro equipo.

Pulsaremos en cualquier parte en blanco del “Analizador”:

Análisis Avanzado.

Configurar el análisis.

Dejaremos las opciones que están marcadas por defecto, y seleccionaremos TODAS las unidades de disco o usb que tenemos conectadas en nuestro equipo

Por último clic en “Analizar”.

Inmediatamente veremos esta pantalla donde observaremos en el progreso de las distintas etapas que se irán produciendo consecutivamente, desde “Buscar Actualizaciones” hasta llegar al “Análisis del sistema de archivos”, y además podremos ir viendo los objetos infectados que se vayan encontrando.

16739×545 119 KB

Al terminar el proceso de análisis veremos esta pantalla con los resultados del mismo, en ella pulsaremos en Cuarentena, primero evidentemente podemos verificar que es lo que nos ha detectado el análisis, revisando por si hubiera algo que NO quisiéramos eliminar.

17737×544 178 KB

Nuestra recomendación es marcar todo lo detectado y enviarlo todo a la cuarentena No debemos omitir absolutamente nada si queremos garantizar que la desinfección sea correcta

Una vez llevado a cabo la desinfección veremos esta pantalla final.

18739×543 135 KB

Al hacer clic en el botón Ver informe, se muestra el informe de escaneado que acaba de completar.

En tu próxima respuesta debes traernos el reporte de Malwarebytes Sigue las siguientes instrucciones para acceder a el y pegarlo en el foro

Una vez terminado cualquier tipo de análisis, debemos buscar el informe que se ha generado siguiendo estos pasos.

Método 1: Pulsaremos en :

Analizador
Ver informe
Exportar
Copy to clipboard y lo pegaremos en el tema del Foro de InfoSpyware donde nos estén prestando ayuda:

gif9

Método 2: Pulsaremos en:

Cualquier lugar en blanco de “Historial de detecciones”
Historial
Detección de análisis y clic en el “Ojo”.
Exportar
Copy to clipboard y lo pegaremos en el tema del Foro de InfoSpyware donde nos estén prestando ayuda:

Tenemos que tener en cuenta que el informe que debemos recuperar para poder pegarlo en el tema donde nos presten ayuda, debe ser un informe de TIPO “Detección de Análisis”, nunca el reporte de “Detección RTP”, a no ser que se le pida específicamente.

gif10

Es muy importante copiar el informe escribiendo las etiquetas: [code] al principio y [/code] al final del log, para que se vea así:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 24/11/19
Hora del análisis: 19:05
Archivo de registro: 0830b514-0ee5-11ea-be2b-a0481c03ae50.json

-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.750
Versión del paquete de actualización: 1.0.15354
Licencia: Premium

-Información del sistema-
SO: Windows 10 (Build 17763.864)
CPU: x64
Sistema de archivos: NTFS
Usuario: DANIELA\Daniela

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 454742
Amenazas detectadas: 10
Amenazas en cuarentena: 10
Tiempo transcurrido: 22 min, 52 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
PUP.Optional.Babylon, C:\Users\abrah\AppData\Local\Babylon\Setup, En cuarentena, 381, 339640, , , , 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\BABYLON, En cuarentena, 381, 339640, 1.0.15354, , ame, 

Archivo: 8
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\BABYLON\SETUP\SETUP2.ZPB, En cuarentena, 381, 339640, 1.0.15354, , ame, 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_000BDB, En cuarentena, 381, 677189, 1.0.15354, , ame, 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\TEMP\DB9F30A4-BAB0-7891-9586-70C7CC5C50E5\LATEST\BEXTERNAL.DLL, En cuarentena, 381, 8306, 1.0.15354, , ame, 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\TEMP\DELTATB.EXE, En cuarentena, 381, 76260, 1.0.15354, , ame, 
Generic.Malware/Suspicious, C:\USERS\ABRAH\DOWNLOADS\CONTABILIDAD\NOMINAPLUS ELITE 2012 BV WCM\NOMINAPLUS ELITE 2012 BV WCM\TAOS\TAOS.EXE, En cuarentena, 0, 392686, 1.0.15354, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\ABRAH\DOWNLOADS\CONTABILIDAD\KEYGEN 6.0 (TAOS)\KEYGEN 6.0 (TAOS)\KEYGEN 6.0 (TAOS).EXE, En cuarentena, 0, 392686, 1.0.15354, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\ABRAH\DOWNLOADS\CONTABILIDAD\KEYGEN 6.0 (TAOS).RAR, En cuarentena, 0, 392686, 1.0.15354, , shuriken, 
PUP.Optional.Babylon, C:\USERS\ABRAH\DESKTOP\UNLOCKER1.9.2.EXE, En cuarentena, 381, 677189, 1.0.15354, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Atención: Si al pegar el informe en el tema del Foro donde nos prestan ayuda, recibimos un mensaje de que NO podemos hacerlo por exceso de caracteres, lo que debemos hacer es dividirlo en varios mensajes/respuestas.

Realiza un Análisis Personalizado a tu equipo con Eset Online Scanner siguiendo las instrucciones del siguiente manual

Es muy importante que selecciones todo lo que Eset detecte y lo mandes todo a cuarentena Asegúrate de guardar su reporte Este deberas entregarlo junto con tus respuestas.

Cuando respondas:

Debes traer los reportes de las herramientas que logres ejecutar
Debes comentarnos cualquier problema que haya surgido antes, durante y después del procedimiento
Necesitamos saber si el o los problemas planteados en tu consulta se siguen presentando y con que frecuencia
Debes decirnos como esta funcionando el equipo y cualquier otro comportamiento extraño que observes

Te dejo estos enlaces, por si tienes alguna duda de como poner los reportes o necesitas agregar imágenes a tu consulta

Como pegar reportes en el foro De preferencia usa el Método 2 o el Método 3
Como agregar imágenes al foro

Saludos y esperamos tus respuestas, además de los reportes de las herramientas

Rathian · 19 Septiembre, 2023 19:10

Hola y perdón por la demora, debido al trabajo no he tenido mucho tiempo.

No me fue bien intentado realizar los pasos, en la parte de realizar el análisis con malwarebytes sale una ventana azul diciendo que un dispositivo tuvo un problema y tiene que reiniciar, lo he intentado varias veces y no puedo continuar. No se si influya pero malwarebytes lo tengo instalado desde antes de realizar este proceso,

Las especificaciones del PC son:

-Windows 10 Enterprise -Asus P8Z77-M -Intel core i7 3.4GHz -RAM 8GB DDR3 -Samsung SSD 870 EVO 500GB (Sistema operativo) -HDD 1TB

Este reporte es del rkill ya que del malwarebytes no puedo completar el analisis

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2023 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 09/19/2023 01:56:55 PM in x64 mode.
Windows Version: Windows 10 Enterprise 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * C:\Windows\nssm.exe (PID: 3216) [WD-HEUR]
 * C:\Windows\jusched.exe (PID: 4016) [FI]

2 proccesses terminated!

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 09/19/2023 01:57:23 PM
Execution time: 0 hours(s), 0 minute(s), and 28 seconds(s)

El problema aún persiste ya que al reactivar windows defender y malwarebytes la venta de alerta de este último sigue saltando a cada instante.

JCTecn1cal · 20 Septiembre, 2023 23:18

Veamos, punto por punto

Puede ser que Malwarebytes este dañado y tal vez necesites desinstalarlo y volverlo a instalar ¿No puedes realizar ningún tipo de análisis?

Ahora ha surgido esto

Sobre todo lo que escribi en negritas ya que este sistema es para un uso mas corporativo y no domestico.

Por ende posee ciertas restricciones sobre todo a nivel seguridad ya que esto es sumamente esencial para las empresas y debo preguntarte ¿ Tu sistema es Original o no lo es? Tienes que decirnos la verdad sobre este punto ya que nos dices que tú has instalado Windows 10 pero no mencionas el como lo has activado.

Entonces

Vamos a desinstalar Malwarebytes y no lo vamos a instalar por ahora

Desinstala Malwarebytes desde el menú Aplicaciones de Windows 10 y REINICIAR SIEMPRE su equipo.
Descargue en su escritorio y ejecute MB-Clean.exe .
REINICIAR nuevamente su equipo.

Repite los pasos al y te vas directamente a realizar el paso que es el Análisis personalizado con Eset Online Scanner siguiendo las instrucciones de su manual que ya te he dejado

Seguimos con Kaspersky Virus Removal Tool (KVRT) Sigue las instrucciones del siguiente manual

Realiza un análisis completo a tu equipo con KVRT y me traes su reporte

Reinicia el equipo y haremos un análisis completo con DrWeb CureIt

Lo descargas, actualmente el enlace de descarga nos directamente a su pagina:

Haces clic en el Botón Descargar gratis > en el cuadro que Dice Para Su ordenador personal
Marcas las casillas y haces clic en el botón Descargar
Aparecera un formulario como este
Los 3 datos son obligatorios, no es necesario que tu nombre y apellidos sean los reales, lo que realmente importa es que la dirección de correo sea valida ya que ahí van a enviar el enlace para que puedas descargarlo.
Marcas las dos casillas y haces clic en el botón Enviar y esperas a que te notifique que el enlace fue enviado a la dirección de correo que pusiste
Ahora te toca comprobar tu email y ver si has recibido el mensaje de DrWeb, asegurate de revisar la carpeta de spam de tu correo para ver si el mensaje ha llegado, lo abres y sigues las instrucciones.

Sigue el manual que te puesto para realizar un análisis completo con DrWeb CureIt a tu equipo Debes seleccionar todas las casillas Configurar su reporte en mínimo A continuación pulsamos en “Haga clic para seleccionar archivos y carpetas”

Veremos la siguiente imagen:

29_17h00m59s_004_FolderView

Seleccionamos todas las unidades que tengamos, incluidas las extraibles y pulsamos en OK

Volveremos a la imagen anterior y pulsamos en Comenzar Escaneo

Una vez finalizado, si encuentra Amenazas, veremos una imagen similar a esta:

29_17h12m01s_008_-nibCCapture-dfbe092e-91a8-46e2-ac14-90e1fbde3735

Pulsamos en Neutralizar

Una vez finalizada la desinfección, reiniciamos el pc.

Recuerda que es un análisis completo, por ende es muy exhaustivo y puede tomar bastante tiempo, así que ármate de paciencia y evita que el equipo se suspenda durante el análisis

Nos traes el reporte de DrWeb CureIt:

Buscaremos el Informe para pegarlo en el Foro:

De forma predeterminada, una vez que Dr. Web CureIt! finaliza de escanear el sistema operativo, crea un reporte que puede encontrar en la siguiente ruta:

Disco C\Nombre de Usuario\Dr Web\ Curelt.log

Nos comentas como va todo o cualquier problema que hayas tenido ya sea para descargar o al ejecutar DrWeb.

Traes los reportes de Eset Online Scanner , KVRT y DrWeb, tomas capturas de la detecciones de todos ellos programas y las pegas con tus respuestas . Ya sabes que tienes que comentarnos como van saliendo las cosas despúes de los procedimientos

Saludos