Ayuda virus que borro y vuelven a aparecer

Hace un tiempo, aparecio en mi ordenador el virus de la doble tilde, así que siguiendo el consejo de este foro me instale malwarebytes y despues de pasarlo y borrarlo todo parecia correcto. Pero dias despues me aparecen 4 virus que borro dia tras dia y vuelven a aparecer, no se como dar con el archivo que los vuelve a instalar. Adjunto aqui los resultados de malwarebytes: Malwarebytes

-Detalles del registro- Fecha del análisis: 28/12/22 Hora del análisis: 13:28 Archivo de registro: 17d50574-86ab-11ed-bebf-d8bbc110cf40.json

-Información del software- Versión: 4.5.19.229 Versión de los componentes: 1.0.1860 Versión del paquete de actualización: 1.0.63941 Licencia: Caducado

-Información del sistema- SO: Windows 10 (Build 19044.2364) CPU: x64 Sistema de archivos: NTFS Usuario: DESKTOP-UQKRGTU\Alvaro

-Resumen del análisis- Tipo de análisis: Análisis de amenazas Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 359452 Amenazas detectadas: 4 Amenazas en cuarentena: 0 Tiempo transcurrido: 1 min, 15 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 3 Trojan.Amadey, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\wfyoot.exe, Sin acciones por parte del usuario, 646, 1085723, , , , , , Trojan.Amadey, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{5750CE7C-2F65-4974-9B3B-B13514EA8E37}, Sin acciones por parte del usuario, 646, 1085723, , , , , , Trojan.Amadey, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN{5750CE7C-2F65-4974-9B3B-B13514EA8E37}, Sin acciones por parte del usuario, 646, 1085723, , , , , ,

Valor del registro: 0 (No hay elementos maliciosos detectados)

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 1 Trojan.Amadey, C:\WINDOWS\SYSTEM32\TASKS\wfyoot.exe, Sin acciones por parte del usuario, 646, 1085723, 1.0.63941, , ame, , C5550E0FABB15919854EB578E42554A9, C578C085B1EC7BD2D53D7112975E1B92B073331B9309717E3F21399E5DAAD853

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Prueba eliminarlo en modo seguro, escanea con Malwarebytes antimalware pero en modo seguro, no te lo elimina porque se disfraza como un archivo de Windows.

¿¿a que te refieres con el modo seguro?? Sin embargo yo creo que los elimina, solo que hay algun archivo que los vuelve a instalar.

Hola @Alvaro_123 Si sigues haciendo los análisis de esa manera no vas a llegar a ningún lado, Tu reporte de malwarebytes muestra varias detecciones pero en cada una de ellas dice

Lo que significa que no las enviado a cuarentena y por ende no han sido eliminadas de tu equipo.

Sigue estas instrucciones para hacer un análisis personalizado con Malwarebytes y asegúrate de mandar todo lo encontrado a cuarentena

Análisis Personalizado

Con esta opción podemos seleccionar ficheros, discos, unidades Usb, memorias o dispositivos que queramos analizar.

Se recomienda usar esta opción cuando queramos buscar específicamente en algún lugar, disco o memoria usb de nuestro equipo.

Pulsaremos en cualquier parte en blanco del “Analizador”:

  1. Análisis Avanzado.
  2. Configurar el análisis.
  3. Dejaremos las opciones que están marcadas por defecto, y seleccionaremos TODAS las unidades de disco o usb que tenemos conectadas en nuestro equipo
  4. Por último clic en “Analizar”.

gif6

Inmediatamente veremos esta pantalla donde observaremos en el progreso de las distintas etapas que se irán produciendo consecutivamente, desde “Buscar Actualizaciones” hasta llegar al “Análisis del sistema de archivos”, y además podremos ir viendo los objetos infectados que se vayan encontrando.

Al terminar el proceso de análisis veremos esta pantalla con los resultados del mismo, en ella pulsaremos en Cuarentena, primero evidentemente podemos verificar que es lo que nos ha detectado el análisis, revisando por si hubiera algo que NO quisiéramos eliminar.

Una vez llevado a cabo la desinfección veremos esta pantalla final.

Al hacer clic en el botón Ver informe, se muestra el informe de escaneado que acaba de completar.

19

Le dejas al compañero @nworder el reporte de Malwarebytes y comentas como van las cosas y como esta funcionando el equipo

Saludos

2 Me gusta

Buenas, bien es cierto que cuando copie el resumen no había tomado acciones, pero mas tarde los puse en cuarentena y los elimine, sin embargo he utilizado tu configuración añadiendo así el disco D: y aquí adjunto el reporte de nuevo.

Malwarebytes

-Detalles del registro- Fecha del análisis: 29/12/22 Hora del análisis: 22:12 Archivo de registro: 829e8bd8-87bd-11ed-bb1e-d8bbc110cf40.json

-Información del software- Versión: 4.5.19.229 Versión de los componentes: 1.0.1860 Versión del paquete de actualización: 1.0.63999 Licencia: Caducado

-Información del sistema- SO: Windows 10 (Build 19044.2364) CPU: x64 Sistema de archivos: NTFS Usuario: DESKTOP-UQKRGTU\Alvaro

-Resumen del análisis- Tipo de análisis: Análisis personalizado Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 979239 Amenazas detectadas: 10 Amenazas en cuarentena: 10 Tiempo transcurrido: 15 min, 12 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 3 Trojan.Amadey, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\wfyoot.exe, En cuarentena, 646, 1085723, , , , , , Trojan.Amadey, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS{D76D7FE2-8CC8-4A8A-A2FD-5F80707DE6BF}, En cuarentena, 646, 1085723, , , , , , Trojan.Amadey, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN{D76D7FE2-8CC8-4A8A-A2FD-5F80707DE6BF}, En cuarentena, 646, 1085723, , , , , ,

Valor del registro: 0 (No hay elementos maliciosos detectados)

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 7 Trojan.Amadey, C:\WINDOWS\SYSTEM32\TASKS\wfyoot.exe, En cuarentena, 646, 1085723, 1.0.63999, , ame, , 1ABE81F0319C5C577BB576DBC6236992, C04A3BCFD80ED25F8BE0CE93DBDEF6FCFAEF764288A98E61ED5C06D7CE6B7F4A Sality.Virus.FileInfector.DDS, D:$RECYCLE.BIN\S-1-5-21-1467385299-2098370934-668773893-1001$RCP0ZEU.WIN-R2R\R2R\XLN_KEYGEN.EXE, En cuarentena, 1000002, 0, 1.0.63999, 2307BFAB720B83600B0C9318, dds, 02100697, 952D893926DF7A8D5879F2FFEB96E96E, 0C10769B277CF217DAE2877ECD476E70413907F4EB7A70DE55C2FBA4EDC947EA Sality.Virus.FileInfector.DDS, D:$RECYCLE.BIN\S-1-5-21-1467385299-2098370934-668773893-1001$RCP0ZEU.WIN-R2R\R2R\XLN_KEYGEN.RAR, En cuarentena, 1000002, 0, 1.0.63999, 2307BFAB720B83600B0C9318, dds, 02100697, 16DAEB8AD14F1FA360ABBE63EF63D02F, 4BD5C62AA101C3A1D32481FA5FF0BD83F4AC025FE5CF2DB522A502A91F5EDC21 Sality.Virus.FileInfector.DDS, D:$RECYCLE.BIN\S-1-5-21-1467385299-2098370934-668773893-1001$RQNX65O\R2R\XLN_KEYGEN.EXE, En cuarentena, 1000002, 0, 1.0.63999, 2307BFAB720B83600B0C9318, dds, 02100697, 952D893926DF7A8D5879F2FFEB96E96E, 0C10769B277CF217DAE2877ECD476E70413907F4EB7A70DE55C2FBA4EDC947EA Sality.Virus.FileInfector.DDS, D:$RECYCLE.BIN\S-1-5-21-1467385299-2098370934-668773893-1001$RQNX65O\R2R\XLN_KEYGEN.RAR, En cuarentena, 1000002, 0, 1.0.63999, 2307BFAB720B83600B0C9318, dds, 02100697, 16DAEB8AD14F1FA360ABBE63EF63D02F, 4BD5C62AA101C3A1D32481FA5FF0BD83F4AC025FE5CF2DB522A502A91F5EDC21 Sality.Virus.FileInfector.DDS, D:$RECYCLE.BIN\S-1-5-21-1467385299-2098370934-668773893-1001$RSITXS7.COM\XLN AUDIO RC-20 RETRO COLOR V1.2.6.2 WIN\KEYGEN\XLN_KEYGEN.EXE, En cuarentena, 1000002, 0, 1.0.63999, 2307BFAB720B83600B0C9318, dds, 02100697, 952D893926DF7A8D5879F2FFEB96E96E, 0C10769B277CF217DAE2877ECD476E70413907F4EB7A70DE55C2FBA4EDC947EA PUP.Optional.BundleInstaller, D:\JUEGOS\RAFT UPDATE 13 - BLIFEGAMES\UNINS000.EXE, En cuarentena, 493, 892548, 1.0.63999, , ame, , 58AD6D6122F5FD49BBD209C2FE32BD94, 28ED5021ADC651A942F1EABCC2FEC9A78E8ABFD71FA2E72E3A5314E8AB8C14C9

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Los archivos pirata que me había instalado estaban en el D: y al añadirlo han aparecido mas, es posible que con los virus que he borrado ahora no vuelvan a aparecer mas en el disco C:

No se q sistema operativo tengas pero googlea como inciar en modo seguro de acuerdo al sistema operativo q tengas, y una vez entrando en modo seguro escanea con malwarebytes, asi nunca te lo va a eliminar.

Hola @Alvaro_123 Sobre lo que ha detectado Malwarebytes

  • Amadey es un troyano que puede bloquear el acceso a un equipo y exige un pago para desbloquearlo. Se considera un ransomware aunque parece que no cifra archivos como los ransomwares mas modernos.
  • Sality es el nombre de una familia de virus polimórficos que infectan ejecutables y archivos que son vitales para el funcionamiento del sistema. Sus versiones anteriores podían afectar a un 90% del sistema y nos llevaba a formatear por completo el equipo, los únicos archivos que podían salvarse eran aquellos con las extensiones .JPG, .GIF, .BMP, .TXT y .MP3 pero esta Sality.Virus.FileInfector.DDS puede ser una variante mas nueva y evolucionada de esta familia

El reporte de Malwarebytes dice que tu sistema es

Quizas esto pueda servirte

Pregunta: Cómo hacer que en Windows 10 aparezca el menú para elegir el “Modo a prueba de fallos”?

Respuesta: Windows 10 tiene el mismo método que usa su antecesor Windows 8.1 para hacer que aparezca el menú para elegir el “Modo a prueba de fallos”.

Para activar dicho menú, debe realizar los siguientes pasos:

1.- Presione la lupa en su “Barra de Tareas” o el icono de “Cortana” según su caso. Escriba cmd

2.- En la pantalla que aparece, sobre “Símbolo del Sistema” presione:

Botón derecho >>> “Ejecutar como Administrador”.

Verá la ventana del Control de cuentas de usuario, presione en “Si”

46

3.- Se abrirá la interfaz de línea de comandos escriba tal cual:

bcdedit /set bootmenupolicy Legacy

Luego presione Enter. (esto activará el arranque con el F8 tal como en Windows Seven)

4.- Cerrar la interfaz de línea de comandos y reiniciar el ordenador.

5.- Como en Windows 7 al comienzo, presionar la tecla F8 para entrar a Modo Seguro a prueba de fallos.

Lo que te he puesto forma parte de esta FAQ

La cual puedes consultar si tienes alguna otra duda con Windows 10

Trata de reiniciar tu equipo en modo seguro con funciones de red y realiza todos los pasos de esta guía desde ese modo

Traes los reportes de las herramientas que logres ejecutar y nos comentas como esta funcionando el equipo o cualquier problema que hayas tenido

Saludos.

2 Me gusta

Buenas, tras realizar los pasos para borrar con rkill y ademas le he pasado HiJackThis, he conseguido borrar los 4 archivos, paso malwarebytes y no decta nada asi supongo que he logrado elimar todos los virus. Muchas gracias a todos los que me han ayudado, era la primera vez en este foro y ha sido muy buena experiencia

1 me gusta

Hola @Alvaro_123 Necesitamos los reportes de las herramientas que ejecutaste. Si seguiste la guía que te deje, Debes entregarnos los reportes de RKill, Malwarebytes y Eset Online

Expandiré un poco más mi respuesta anterior, debido a lo que encontramos en tu unidad D, hablo de Sality

En palabras de Malwarebytes

Tenemos que entender que Sality.Virus.FileInfector.DDS es una clase de “alias” para toda la familia Sality y no especifica a una variante en particular y por eso me atreví a hacer este comentario

En el año 2009 Sality.AO fue una de las variantes mas conocida de esta familia, obviamente no era la única pero el resultado era el mismo, formateo total del equipo, es decir borrar todas las particiones del equipo y no conservar ningún archivo .exe

Ignoro cuanto alcance puede llegar a tener un Sality en los sistemas modernos como Windows 10 debido a las capas de Seguridad Que este SO tiene; parece que en tu caso Sality no ha salido de la unidad D y estaba inactivo en los keygen que fueron detectados por Malwarebytes, a decir verdad esperaba que Eset lo identificara por completo

Y ya que mencionas esto

Nuestra politica 2.6 lo dice muy claramente

El empleo de herramientas como HJT es muy delicado y requiere supervisión de expertos por lo que debo dejarte en las manos de alguno de ellos

Saludos y Esperamos tus comentarios al respecto

1 me gusta

Buenas, en el caso de la herramienta HJT estuve supervisado por un informático y fue con esta misma herramienta con la que bloquee el virus amadey, se arrancaba en AppData/Local/Temp. Por esto, al pasar después el rkill, no detecto nada. Coloque todos los archivos en cuarentena y los elimine. En el caso de sality, no afecto al ordenador ya que nunca utilice los keygen, en cuanto los descargue y los analice ya salía que estaban infectados, por eso los borre y se encontraban en la papelera de reciclaje, vacié la papelera y desaparecieron. Aqui te adjunto en analisis del malwarebytes, pero como te he comentando ya no detecta ningun virus. Malwarebytes

-Detalles del registro- Fecha del análisis: 3/1/23 Hora del análisis: 13:25 Archivo de registro: b3756f7c-8b61-11ed-9a97-d8bbc110cf40.json

-Información del software- Versión: 4.5.19.229 Versión de los componentes: 1.0.1860 Versión del paquete de actualización: 1.0.64194 Licencia: Caducado

-Información del sistema- SO: Windows 10 (Build 19044.2364) CPU: x64 Sistema de archivos: NTFS Usuario: DESKTOP-UQKRGTU\Alvaro

-Resumen del análisis- Tipo de análisis: Análisis personalizado Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 984476 Amenazas detectadas: 0 Amenazas en cuarentena: 0 Tiempo transcurrido: 14 min, 14 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 0 (No hay elementos maliciosos detectados)

Valor del registro: 0 (No hay elementos maliciosos detectados)

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 0 (No hay elementos maliciosos detectados)

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Bueno, te agradecemos que nos hayas informado lo que hiciste para solucionarlo.

Si todo esta en orden, solo te resta dar por Solucionado este tema, aquí esta como debes de hacer eso

Saludos

1 me gusta