Detección recurrente: Win32/NotepadInject.SA

Eliminar Malwares
24

Hola, buenas @polmadur

Vale, de acuerdo, perfecto. De todas formas debemos de asegurar que no queda nada activo por el sistema referente a la infección, en otras palabras, que todos los bichos están muertos.

Pues hasta entonces.

Salu2.

1 me gusta
25

Hola, buenas @polmadur

Primero de todo disculpa que haya tardado en responder @polmadur. Pues últimamente iba con muy poco tiempo para el foro, ahora ya tengo algo más de tiempo y puedo darle continuidad y seguir perfectamente tu caso.

Confírmame en que quieres seguir y si es así, dímelo y seguimos a partir del punto en el que lo dejamos.

Salu2.

1 me gusta
26

Hola @Marr0n no te preocupes. El tema yo creo que se puede dar por zanjado. desde hace ya dos semanas o más que no me detecta la amenaza y queda ya todo limpio.

Muchas gracias!!

1 me gusta
27

Hola buenas nuevamente @polmadur

Ok.

Ok. Pero que no la detecte no quiere decir que queden rastros o trazas de la amenaza o que esta haya sido 100 x 100 eliminadas. Pues revisando tu caso tenías un tipo de malware que no es cualquier tipo de malware y que no se elimina así como así.

Tendríamos que hacer esto que te dije hace unos días:

Bueno, esto no lo sabemos, ya que no hemos hecho las correspondientes verificaciones. Te recomiendo en que finalicemos el proceso de desinfección, puesto que aparentemente ya no hay síntomas, pero esto no quiere decir que todo debajo del “capo” este como debe de estar.

Me comentas finalmente que quieres hacer.

Salu2.

1 me gusta
28

Hola, buenas @polmadur

¿Has podido realizar algún avance acerca de lo que te pregunté/comenté?

Me comentas.

Salu2.

P.D.: Si no respondes en este tema, en 10 días se cerrará automáticamente.

29

Hola!!! Se me habían traspapelado las notificaciones, no había visto respuestas. Que más debemos hacer? Lo que haga falta si

1 me gusta
30

Hola buenas tranquilo @polmadur por eso después de tanto tiempo te envié ese recordatorio.

Ok, pues mira, esto (mi último mensaje antes del recordatorio):

Me comentas si quieres seguir con las correspondientes verificaciones para comprobar que todo está OK y que ya no quedan infecciones. Si es así, en breves te doy los siguientes pasos.

Salu2.

31

Si adelante, sigamos con las comprobacione

1 me gusta
32

Ok :+1: @polmadur

[color=#2271b3]:one: EN BUSCA / ELIMINACIÓN DE MALWARE [/color]

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

1) Descarga, instala y ejecuta ZHP Cleaner siguiendo su manual, lo descargas de aquí, instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

2) Realizas un análisis con Dr Web CureIt siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It de: Download Dr.Web CureIt! Free tool to cure your PC from malware

[color=#2271b3]:two: PRÓXIMA RESPUESTA[/color]

Pegas los reportes de ZHP Cleaner y Dr Web CureIt y comentas como va el PC.

NOTA IMPORTANTE

[color=#ff0000]Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:[/color]

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report
report703×272 3.73 KB

Salu2.

33

Hola!

ZHPCleaner

~ ZHPCleaner v2023.12.5.60 by Nicolas Coolman (2023/12/05)
~ Run by Cristian (Administrator)  (06/12/2023 18:11:49)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Reparar
~ Report : C:\Users\Cristian\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Cristian\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 19045)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (1)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (11)
MOVIDO carpeta: C:\Users\Cristian\AppData\Local\Google\Chrome\User Data\Default\History    =>.SUP.BrowserHistoric
MOVIDO carpeta^: C:\Users\Cristian\AppData\Local\Microsoft\Edge\User Data\Default\History    =>.SUP.BrowserHistoric
MOVIDO carpeta: C:\Users\Cristian\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>Préférences Chromium
MOVIDO carpeta: C:\Users\Cristian\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>Préférences Chromium
MOVIDO carpeta: C:\Users\Cristian\Downloads\DiscordSetup.exe [Discord Inc. - Discord - https://discord.com/]  =>.SUP.Discord
MOVIDO carpeta: C:\Users\Cristian\Downloads\Popcorn-Time-0.4.3-win64-Setup.exe [Popcorn Time - Popcorn-Time 0.4.3 Installer]  =>.SUP.PopcornTime
MOVIDO archivo: C:\Users\Cristian\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data  =>.SUP.BrowserCache
MOVIDO archivo^: C:\Users\Cristian\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data  =>.SUP.BrowserCache
MOVIDO archivo: C:\Users\Cristian\AppData\Local\Mozilla\Firefox\Profiles\vgbbvyqt.default\Cache2  =>.SUP.BrowserCache
MOVIDO archivo: C:\Users\Cristian\AppData\Local\Mozilla\Firefox\Profiles\n43t50gy.default-release\Cache2  =>.SUP.BrowserCache
MOVIDO archivo: C:\Users\Cristian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc  =>.SUP.Discord


---\\  Registro ( Claves, Valores, Datos) (3)
BORRADOS clave*: HKEY_USERS\S-1-5-21-3772327939-3892911437-1135405044-1001\SOFTWARE\Classes\discord-365569601993572352 [URL:Run game 365569601993572352 protocol]  =>.SUP.Discord
BORRADOS clave*: HKEY_USERS\S-1-5-21-3772327939-3892911437-1135405044-1001\SOFTWARE\Classes\discord-432980957394370572 [URL:Run game 432980957394370572 protocol]  =>.SUP.Discord
BORRADOS clave*: HKEY_USERS\S-1-5-21-3772327939-3892911437-1135405044-1001\SOFTWARE\Classes\discord-477175586805252107 [URL:Run game 477175586805252107 protocol]  =>.SUP.Discord


---\\  Resumen de elementos en su estación de trabajo (5)
https://nicolascoolman.eu/2023/07/18/les-caches-et-historiques-de-navigateurs/  =>.SUP.BrowserHistoric
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>Préférences Chromium
https://nicolascoolman.eu/forum/Topic/Discord-logiciel-potentiellement-superflu-lps/  =>.SUP.Discord
https://nicolascoolman.eu/2017/02/26/superfluous-popcorntime/  =>.SUP.PopcornTime
https://nicolascoolman.eu/2023/07/18/les-caches-et-historiques-de-navigateurs/  =>.SUP.BrowserCache


---\\ Limpieza adicional. (15)
~ Clave de registro Tracing borrados (15)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Microsoft Edge OK
~ Mozilla Firefox OK
~ Microsoft Internet Explorer OK
~ El sistema ha sido reiniciado.


---\\ STATISTIQUES
~ Items escaneado : 1597
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 10/18


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto
~ Iniciar navegadores con extensiones eliminadas





~ End of clean in 00h00mn33s

---\\  Reporte (2)
ZHPCleaner-[S]-06122023-18_08_37.txt
ZHPCleaner-[R]-06122023-18_12_22.txt
34

Dr Web Cureit

Os lo pongo como archivo adjunto porque es realmente largo, no se si lo quieres en modo code que se satura un poco la web.

cureit.log

35

Hola buenas @polmadur

Primero de todo, disculpa en que haya tardado en responder. Pues han sucedido una serie de contratiempos que han hecho que no pudiese responder durante casi un mes aprox.

Pues:

  • He estado enfermo varias semanas/días.
  • He tenido problemas familiares/personales.
  • Estas fechas festivas de navidad, uno tiene muchas cosas que hacer.
  • Tengo también mucha carga laboral/trabajos.
  • El foro tuvo una serie de problemas técnicos hace un par de semanas y también estuvo caído varios días, pero ya se ha arreglado casi todo.

¿Sigues necesitando ayuda acerca del problema qué comentaste inicialmente en este tema?

Si es así, dímelo y por mi parte a partir del 16 de Enero podré seguir atendiendo tu caso. Puede que antes, pero el 16 de Enero. Seguro.

Salu2.