ELIMINAR EL FAMOSO Manuel.doc


#1

Buenas tardes amigos, pido ayuda para eliminar este casino generador de accesos directos Manuel.doc, he pasado USBFIX, MalwareBytes y Eset Online, lo detectan y aún asi continua infectando cualquier dispositivo que accede al pc.

Recuerdo que antes de que el foro anterior fuera atacado había un tutorial con todos los pasos enormemente eficaz, recuerdo haberlo usado anteriormente con eficacia total, pero ahora mismo no hay manera, no lo consigo derrotar.

Si algun user tiene la amabilidad de enseñarme que estrategia seguir contra este briboncillo lo agradecería mucho, ahora mismo tengo infectados 5 pens y un HDD externo, espero ayuda colegas


#2

Hola @JURuben, bienvenido al nuevo ForoSpyware.

Pega los reportes de USBFix,Malwarebytes y el de ESET para analizarlos y ver si as realizado correctamente los pasos.

Para poder ubicar los reportes, sigue los pasos indicados en los siguientes manuales:

Manual de Malwarebytes: https://forospyware.com/t/manual-de-malwarebytes-anti-malware/113/3

Manual de USBFix: https://forospyware.com/t/manual-de-usbfix/158/2

El reporte de ESET Online Scanner lo puedes ubicar en C:\Archivos de programa\Eset\log.txt o bien C:\Archivos de programa (x86)\Eset\log.txt si sistema operativo que tienes instalado es de 64 bits (ver más información de cómo identificar un sistema operativo de 64 bits, lo puedes ver aquí -> ¿Cómo saber si mi Windows es de 32 o 64 bits.?)

Es importante evitar conectar tus 5 unidades USB y el HDD externo en tu PC y en otros equipos para evitar que el problema se agrave.

Si los reportes son muy largos, colócalos en varias respuestas, indicando a qué programa corresponde cada reporte.

Nos comentas cómo va todo.

Saludos


#3

Gracias al amigo @Facundo por responder; comienzo a poner los reportes

Malwarebytes

-Información del sistema- SO: Windows 10 (Build 17134.345) CPU: x64 Sistema de archivos: NTFS Usuario: DESKTOP-ZZZZZ

-Resumen del análisis- Tipo de análisis: Análisis de amenazas Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 327234 Amenazas detectadas: 2 Amenazas en cuarentena: 0 Tiempo transcurrido: 0 min, 43 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 0 (No hay elementos maliciosos detectados)

Valor del registro: 1 Worm.Forbix, HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|SysinfY2X, Sin acciones por parte del usuario, [6204], [412187],1.0.7331

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 1 Worm.Forbix, C:\USERS\ZZZZ\APPDATA\LOCAL\TEMP\SysinfY2X.db, Sin acciones por parte del usuario, [6204], [412187],1.0.7331

Sector físico: 0 (No hay elementos maliciosos detectados

WMI: 0 (No hay elementos maliciosos detectados) (end)

A continuación, USBFix

------------ | Discos analizados |

No se detectan dispositivos para este tipo de escaneo.

------------ | Elemento(s) infectado(s) |

Not selected! HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\Software\Microsoft\Windows\CurrentVersion\Run,SysinfY2X

Not selected! HKCU\Software\Microsoft\Windows\CurrentVersion\Run,SysinfY2X

Not selected! C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db

------------ | Run |

F2 - HKLM…\Winlogon : [Shell] explorer.exe F2 - [x64] HKLM…\Winlogon : [Shell] explorer.exe F2 - HKLM…\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe, F2 - [x64] HKLM…\Winlogon : [Userinit] C:\Windows\system32\userinit.exe, 04 - HKCU…\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe 04 - HKCU…\Run : [iCloudServices] “C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe” 04 - HKCU…\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe 04 - HKCU…\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe 04 - HKCU…\Run : [CCleaner Smart Cleaning] “C:\Program Files\CCleaner\CCleaner64.exe” /MONITOR 04 - HKCU…\Run : [SysinfY2X] C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db 04 - HKLM…\Run : [QHSafeTray] “C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe” /start 04 - HKLM…\Run : [Dropbox] “C:\Program Files (x86)\Dropbox\Client\Dropbox.exe” /systemstartup 04 - HKLM…\Run : [Autodesk Desktop App] “C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe” -tray 04 - HKLM…\Run : [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe 04 - [x64] HKLM…\Run : [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe 04 - [x64] HKLM…\Run : [NvBackend] “C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe” 04 - [x64] HKLM…\Run : [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” 04 - HKU\S-1-5-19…\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup 04 - HKU\S-1-5-20…\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup 04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002…\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe 04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002…\Run : [iCloudServices] “C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe” 04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002…\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe 04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002…\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe 04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002…\Run : [CCleaner Smart Cleaning] “C:\Program Files\CCleaner\CCleaner64.exe” /MONITOR 04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002…\Run : [SysinfY2X] C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db 04 - HKU\S-1-5-19…\RunOnce : [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade 04 - HKU\S-1-5-20…\RunOnce : [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade

Elemento(s) infectado(s) : 3 Elementos analizados : 41376 en 00h 00m 03s

Falta Eset, que lo estoy volviendo a pasar de nuevo


#4

Hola @JuRuben y con permiso

En tus reportes, aparentemente estan todos mal realizados.

Malwarebytes ,el resultado pone " sin acciones por el usuario", aunque pone que están en cuarentena

Comprueba en Cuarentena si estan esos elementos

El UsbFix, primeramente según el log, lo hiciste sin conectar tus Usbs infectados y ademas no seleccionaste para eliminar nada de lo encontrado, por tanto ese análisis no sirve

------------ | Discos analizados |

No se detectan dispositivos para este tipo de escaneo.

------------ | Elemento(s) infectado(s) |

Not selected!

Mira el manual, realizas un Full Analisis , con todos tus Usbs conectados y le pegas el log al Compañero

Saludos


#5

Gracias @Miguelgrado por responder vuelvo a poner los reports, para que veais

Malwarebytes

-Detalles del registro- Fecha del análisis: 14/10/18 Hora del análisis: 4:37 Archivo de registro: 1e5a1a9a-cf5a-11e8-a120-10bf4806076c.json

-Información del software- Versión: 3.6.1.2711 Versión de los componentes: 1.0.463 Versión del paquete de actualización: 1.0.7337 Licencia: Prueba

-Información del sistema- SO: Windows 10 (Build 17134.345) CPU: x64 Sistema de archivos: NTFS Usuario: System

-Resumen del análisis- Tipo de análisis: Análisis de amenazas Análisis iniciado por:: Programador de tareas Resultado: Completado Objetos analizados: 327020 Amenazas detectadas: 2 Amenazas en cuarentena: 2 Tiempo transcurrido: 2 min, 30 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 0 (No hay elementos maliciosos detectados)

Valor del registro: 1 Worm.Forbix, HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|SysinfY2X, En cuarentena, [6204], [412187],1.0.7337

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 1 Worm.Forbix, C:\USERS\XXXX\APPDATA\LOCAL\TEMP\SysinfY2X.db, En cuarentena, [6204], [412187],1.0.7337

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Se supone que estan los dos archivos infectados y dos claves del registro en cuarentena

USBFix

UsbFix Antivirus Free
# Tipo de escaneo : Full
------------ | Discos analizados |

C:\	NTFS	(129GB/222GB)	[Fixed] 
E:\	FAT32	(1023GB/7GB)	[Removable] 
F:\	exFAT	(501GB/931GB)	[Fixed] 
G:\	FAT32	(7GB/7GB)	[Removable] 

------------ | Elemento(s) infectado(s) |

Restorado! E:\YO
Restorado! E:\XXXX
Restorado! G:\Manuel.doc
Restorado! E:\Manuel.doc
Borrado! HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\Software\Microsoft\Windows\CurrentVersion\Run|SysinfY2X
Borrado! C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db
Borrado! G:\System Volume Information.lnk
Borrado! E:\.Spotlight-V100.lnk
Borrado! E:\.Trashes.lnk
Borrado! E:\YO.lnk
Borrado! E:\System Volume Information.lnk
Borrado! E:\XXXX.lnk

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe
04 - HKCU\..\Run : [iCloudServices] "C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe"
04 - HKCU\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKCU\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKCU\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKCU\..\Run : [SysinfY2X] C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode %temp%\SysinfY2X.db
04 - HKLM\..\Run : [QHSafeTray] "C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe" /start
04 - HKLM\..\Run : [Dropbox] "C:\Program Files (x86)\Dropbox\Client\Dropbox.exe" /systemstartup
04 - HKLM\..\Run : [Autodesk Desktop App] "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AutodeskDesktopApp.exe" -tray
04 - HKLM\..\Run : [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
04 - [x64] HKLM\..\Run : [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
04 - [x64] HKLM\..\Run : [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"
04 - [x64] HKLM\..\Run : [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [Autodesk Sync] C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [iCloudServices] "C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe"
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [iCloudDrive] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [iCloudPhotos] C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudPhotos.exe
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\..\Run : [SysinfY2X] C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode %temp%\SysinfY2X.db
04 - HKU\S-1-5-19\..\RunOnce : [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade
04 - HKU\S-1-5-20\..\RunOnce : [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[13/10/2018 - 22:32:52 | ASH | 2469848 Ko] - hiberfil.sys
[13/10/2018 - 22:32:54 | ASH | 1638400 Ko] - pagefile.sys
[13/10/2018 - 22:32:54 | ASH | 16384 Ko] - swapfile.sys
[12/10/2018 - 02:19:51 | SHD] - Config.Msi
[15/10/2016 - 18:41:09 | SHD] - $Recycle.Bin
[10/07/2015 - 13:00:31 | RASH | 386 Ko] - bootmgr
[10/07/2015 - 13:00:31 | ASH | 0 Ko] - BOOTNXT
[10/07/2015 - 14:21:38 | SHD] - Documents and Settings
[08/10/2016 - 12:38:09 | SHD] - Archivos de programa
[08/10/2016 - 14:29:38 | D] - Intel
[12/04/2018 - 01:38:20 | D] - PerfLogs
[27/04/2018 - 17:10:52 | D] - Autodesk
[04/06/2018 - 11:26:34 | SHD] - Recovery
[04/06/2018 - 11:27:46 | RD] - Users
[03/07/2018 - 21:19:18 | RSHD] - 360SANDBOX
[07/08/2018 - 17:45:03 | D] - output
[21/09/2018 - 13:01:56 | AH | 0 Ko] - 0F769134BADD
[21/09/2018 - 13:31:30 | SHD] - $360Section
[09/10/2018 - 17:23:02 | HD] - ProgramData
[09/10/2018 - 17:29:23 | RD] - Program Files
[09/10/2018 - 17:44:01 | RD] - Program Files (x86)
[10/10/2018 - 19:11:41 | D] - Windows

------------ | E:\ - Disco extraíble (FAT32) |

[06/10/2014 - 23:10:32 | SHD] - .Trashes
[06/10/2014 - 23:10:32 | SH | 4 Ko] - ._.Trashes
[06/10/2014 - 23:10:34 | SHD] - .Spotlight-V100
[14/10/2018 - 08:54:56 | R | 1 Ko] - .Spotlight-V100.lnk
[14/10/2018 - 08:54:56 | R | 1 Ko] - XXXX.lnk
[14/10/2018 - 08:54:56 | R | 1 Ko] - YO.lnk
[14/10/2018 - 08:54:56 | R | 1 Ko] - .Trashes.lnk
[13/10/2018 - 19:36:54 | RSH | 11 Ko] - Manuel.doc
[06/10/2014 - 23:11:30 | SHD] - XXXX
[06/10/2014 - 23:16:38 | SHD] - YO

------------ | F:\ - Disco fijo (exFAT) |

[01/01/2015 - 23:06:03 | AHD] - .Trashes
[01/01/2015 - 23:06:03 | AH | 4 Ko] - ._.Trashes
[01/01/2015 - 23:06:03 | AHD] - .Spotlight-V100
[14/07/2015 - 10:30:52 | A | 269 Ko] - duplicado (1).pdf
[17/01/2017 - 00:29:58 | A | 151 Ko] - poliza .pdf
[07/10/2016 - 11:17:12 | RA | 3195094 Ko] - Windows 10 Pro RTM x64 Esp.iso
[01/01/2015 - 23:08:41 | AH | 4 Ko] - ._.DS_Store
[01/01/2015 - 23:08:41 | AH | 6 Ko] - .DS_Store
[01/01/2015 - 23:06:04 | AH | 4 Ko] - ._.com.apple.timemachine.donotpresent
[01/01/2015 - 23:06:04 | AH | 0 Ko] - .com.apple.timemachine.donotpresent
[11/01/2016 - 18:55:56 | A | 2109 Ko] - memoria.docx
[02/12/2016 - 20:20:12 | ASH | 0 Ko] - .dropbox.device
[01/01/1980 - 00:00:00 | A | 0 Ko] - .cm0013
[01/01/2015 - 23:07:52 | SHD] - $RECYCLE.BIN
[03/01/2014 - 21:33:44 | AD] - construccion
[28/01/2014 - 14:54:32 | D] - Daemon tools 
[16/05/2014 - 01:28:40 | D] - PELICULAS
[30/12/2014 - 00:03:06 | AD] - XXXX
[10/01/2015 - 14:33:48 | D] - Detalles tipo
[10/02/2015 - 00:20:00 | D] -
[10/07/2015 - 00:08:02 | D] - 
[13/07/2015 - 19:31:26 | D] -
[26/07/2015 - 14:07:28 | D] - 
[28/07/2015 - 16:49:56 | D] - Camera
[05/08/2015 - 19:16:22 | D] - seguro
[03/09/2015 - 10:42:02 | D] -
[28/10/2015 - 19:52:54 | D] - 
[04/11/2015 - 10:20:12 | D] -
[04/11/2015 - 10:20:12 | D] - 
[14/11/2015 - 12:41:38 | RD] - Subidas desde cámara
[14/11/2015 - 13:00:56 | D] -
[01/12/2015 - 20:54:48 | D] - 
[02/12/2015 - 13:51:02 | D] - 
[15/12/2015 - 18:47:36 | D] - 
[21/12/2015 - 19:18:16 | D] - 
[01/01/2016 - 18:45:56 | D] - d
[02/01/2016 - 00:13:02 | D] - 
[07/01/2016 - 14:14:56 | D] - 2012
[10/01/2016 - 19:43:50 | D] - 
[23/02/2016 - 13:37:42 | D] - 
[23/02/2016 - 13:42:08 | D] -
[09/03/2016 - 11:31:32 | D] - 
[09/03/2016 - 15:48:08 | D] - 
[10/03/2016 - 14:19:34 | D] - 
[22/03/2016 - 20:48:12 | D] - 
[31/03/2016 - 10:18:58 | AD] - AutoCad_2012_x64_ES
[31/03/2016 - 10:54:32 | D] - autocad_2015
[31/03/2016 - 10:54:46 | D] - autocad_2016
[19/04/2016 - 10:42:04 | AD] - 
[21/08/2016 - 17:44:53 | D] - 
[16/12/2016 - 11:54:40 | D] -
[06/03/2017 - 18:57:06 | D] - 
[09/04/2017 - 17:33:34 | D] - 
[20/05/2017 - 12:45:08 | D] - 
[20/05/2017 - 12:49:16 | D] -
[20/05/2017 - 12:50:52 | D] - 
[20/05/2017 - 12:54:40 | D] - 
[20/05/2017 - 13:42:52 | D] -
[05/09/2017 - 16:41:28 | D] -
[20/10/2017 - 18:43:10 | D] - 
[17/11/2017 - 11:32:59 | D] - 2016 escritorio
[17/11/2017 - 12:19:14 | D] - 

------------ | G:\ - Disco extraíble (FAT32) |

[13/10/2018 - 19:38:02 | RSH | 11 Ko] - Manuel.doc

Elemento(s) infectado(s) : 14
Elementos analizados : 85019 en 00h 00m 07s

# UsbFix-Report-13.txt [9137B]

------------ | E.O.F  |

Eset Antivirus

C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db VBS/Agent.NJS gusano F:\d\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable F:\XXXX\AAAAA\d\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable F:\XXXX\AAAAA\documentos varios\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable Ubicaciones de inicio automático VBS/Agent.NJS gusano


#7

Ahora UsbFix si ha eliminado bien el problema.

El log de Eset hay que pegarlo entero, pues esto solo no indica si esta bien echo y si se elimino todo

Pegalo bien y comentas como va todo


#8

Buenas, ese es el txt que me creo Eset al final, puede ser que no lo haya creado yo correctamente, lo vuelvo a pasar.

Puedo comentar que he comprobado los pendrives infectados en una distro de Ubuntu-linux (que se arranca desde un pen) y he tenido que volver a eliminar el pesadilla “Manuel.doc” y todos los accesos directos que crea, pienso que USBFix no ha derrotado al enemigo.


#9

Espera que te indiquemos…

Conecta todos tus usbs y realiza el análisis como el manual:


#10

Muy buenas, varios análisis, para ir adelantando y el el disco duro del equipo sale esto

C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db VBS/Agent.NJS gusano Ubicaciones de inicio automático VBS/Agent.NJS gusano

En tres pens infectados por ejemplo:

E:\Manuel.doc VBS/Agent.NJS gusano E:\XXXX.lnk LNK/Agent.DO Troyano E:\System Volume Information.lnk LNK/Agent.DO Troyano E:\YO.lnk LNK/Agent.DO Troyano E:.Trashes.lnk LNK/Agent.DO Troyano E:.Spotlight-V100.lnk LNK/Agent.DO Troyano F:\Manuel.doc VBS/Agent.NJS gusano F:\System Volume Information.lnk LNK/Agent.DO Troyano G:\Manuel.doc VBS/Agent.NJS gusano G:\System Volume Information.lnk LNK/Agent.DO Troyano

Creo que os podeis hacer una idea no, cuando acabe de analizar las otras partes las incluyo, pero vamos, es el virus de los “accesos directos” pero no logro darle matarile.

He intentado copiar el log desde la carpeta oculta como indica el tutorial pero por algun motivo no me aparece el archivo siempre, pero si es necesario copio lo que tengo


#11

Hola de nuevo,

Termina el analisis y pega todo el reporte. Estas haciendo analisis con ESET?


#12

Estoy haciendo el analisis con ESET ONLINE, este es el log del disco duro externo, aunque me falta el del disco duro del PC

16:15:11 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# engine=39051
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-10-14 14:15:11
# local_time=2018-10-14 16:15:11 (+0100, Hora de verano romance)
# country="Spain"
# lang=3082
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 335079 98465391 0 0
# scanned=328290
# found=4
# cleaned=2
# scan_time=4807
sh=D838AAF8D656B7D8D0F48D13646E677EAAD35F20 ft=0 fh=0000000000002bbb vn="VBS/Agent.NJS gusano (no se ha podido desinfectar - archivo eliminado)" ac=C fn="C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="VBS/Agent.NJS gusano (contiene archivos infectados)" ac=C fn="${Startup}"
16:15:15 Call m_esets_charon_send
16:15:15 Call m_esets_charon_destroy
16:15:36 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# end=init
# utc_time=2018-10-14 14:15:35
# local_time=2018-10-14 16:15:35 (+0100, Hora de verano romance)
# country="Spain"
# osver=10.0.17134 NT 
16:15:40 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# end=init
# utc_time=2018-10-14 14:15:40
# local_time=2018-10-14 16:15:40 (+0100, Hora de verano romance)
# country="Spain"
# osver=10.0.17134 NT 
16:16:15 Call m_esets_charon_setup_create
16:16:15 Call m_esets_charon_create
16:16:15 m_esets_charon_create OK
16:16:15 Call m_esets_charon_start_send_thread
16:16:15 Call m_esets_charon_setup_set
16:16:15 m_esets_charon_setup_set OK
16:16:15 Updating
16:16:15 Update Init
16:16:25 Call m_esets_charon_setup_create
16:16:25 Call m_esets_charon_create
16:16:25 m_esets_charon_setup_set ERROR
16:16:25 Update Download
16:16:26 esets_scanner_update returned -1 esets_gle=53251
16:16:26 g_uiModuleBuild: 39051
16:16:26 Update Finalize
16:16:26 Call m_esets_charon_send
16:16:26 Call m_esets_charon_destroy
16:16:26 Updated modules version: 39051
16:16:36 Call m_esets_charon_setup_create
16:16:36 Call m_esets_charon_create
16:16:36 m_esets_charon_setup_set ERROR
16:16:36 Scanner engine: 39051
17:24:00 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# engine=39051
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-10-14 15:24:00
# local_time=2018-10-14 17:24:00 (+0100, Hora de verano romance)
# country="Spain"
# lang=3082
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 339208 98469520 0 0
# scanned=90433
# found=2
# cleaned=1
# scan_time=3909
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="VBS/Agent.NJS gusano (contiene archivos infectados)" ac=C fn="${Startup}"
17:24:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Quarantine\
17:24:04 Cleaning up
17:24:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Modules\
17:24:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\OldModules\
17:24:04 DeleteEstsApi: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
17:24:05 DeleteApiStgFile: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
17:24:05 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Char_Cache\
17:24:05 Call m_esets_charon_send
17:24:05 Call m_esets_charon_destroy

#13

El archivo VBS/Agent.NJS ya se elimino segun el reporte de ESET. Como comento @Miguelgrado tus memorias usb infectadas ya fueron eliminadas, estoy en lo correcto?

Realiza un escaneo con ESET a tu disco principal, y me pegas el reporte al final.


#14

Añado el ultimo reporte de la unidad C:

17:30:08 g_uiModuleBuild: 39051
17:30:08 Update Finalize
17:30:08 Call m_esets_charon_send
17:30:08 Call m_esets_charon_destroy
17:30:08 Updated modules version: 39051
17:30:18 Call m_esets_charon_setup_create
17:30:18 Call m_esets_charon_create
17:30:18 m_esets_charon_create OK
17:30:18 Call m_esets_charon_start_send_thread
17:30:18 Call m_esets_charon_setup_set
17:30:18 m_esets_charon_setup_set OK
17:30:18 Scanner engine: 39051
18:54:20 # product=EOS
# version=8
# flags=0
# esetonlinescanner_esn.exe=2.0.22.0
# EOSSerial=e46d66d89c2de24aa6fd7ca5c960dbd9
# engine=39051
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-10-14 16:54:19
# local_time=2018-10-14 18:54:19 (+0100, Hora de verano romance)
# country="Spain"
# lang=3082
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 344627 98474939 0 0
# scanned=328328
# found=4
# cleaned=2
# scan_time=4837
sh=D838AAF8D656B7D8D0F48D13646E677EAAD35F20 ft=0 fh=0000000000002bbb vn="VBS/Agent.NJS gusano (no se ha podido desinfectar - archivo eliminado)" ac=C fn="C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="VBS/Agent.NJS gusano (contiene archivos infectados)" ac=C fn="${Startup}"
18:54:21 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Quarantine\
18:54:21 Cleaning up
18:54:21 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Modules\
18:54:21 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\OldModules\
18:54:21 DeleteEstsApi: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
18:54:22 DeleteApiStgFile: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner
18:54:22 RecursiveRemoveDirectoryAndAllFiles: C:\Users\XXXX\AppData\Local\ESET\ESETOnlineScanner\Char_Cache\
18:54:22 Call m_esets_charon_send
18:54:22 Call m_esets_charon_destroy

Procedo a reiniciar el equipo y comprobar


#15

Este reporte tambien indica que estabas infectado con el mismo virus, reinicia la PC y me comentas.


#16

Acabo de reiniciar, pasar Malwarebytes, dar positivos otra vez, cuarentena, eliminarlos, reiniciar y parece ser que aún no se ha desinfectado, estamos apañados parece.


#17

Ejecuta la consola de comando (CMD) como administrador y sigue las siguientes instrucciones:

  • En la consola escribe la letra de la unidad que deseas limpiar, ejemplo C, escribe “C:” y tecleas Enter.
  • Escribe o pega el siguiente comando : Attrib /d /s -r -h -s . y tecleas Enter.
  • Realiza lo mismo con todas tus unidades, y reinicia el PC minimo tres(3) veces y me comentas si siguen.

Saludos.


#18

Me indica “No se encuentra el archivo:”


#19

Siguen apareciendo los archivos? Sube imagenes de donde se presentan, aun que tampoco me estas diciendo si aparecen en los discos, o en las memorias usb…


#20

Sigo viendo todos los archivos del pen como “accesos directos” y ya pongo el pen en un pc con linux veo el Manuel.doc, en windows no se ve.

Para la unidad C: pone esto:

C:\Users\Estefania> Attrib /d /s -r -h -s Acceso denegado: C:\Users\XXXX\AppData\Local\Microsoft\Windows\UPPS\UPPS.bin El destino del vínculo simbólico C:\Users\XXXX\AppData\Local\Microsoft\WindowsApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe no existe. El destino del vínculo simbólico C:\Users\XXXX\AppData\Local\Microsoft\WindowsApps\MicrosoftEdge.exe no existe.

No puedo subr imagenes a la publicacion, ¿subo los pantallazos a otro lado?

He ejecutado CMD como admin por supuesto.

No puedo escribir otro mensaje hasta dentro de 4 horas parece ser, y no me permiten subir imagenes al post (por novato supongo). Contesto en este mensaje a partir de ahora.


#21

Pero as ejecutado como administrador la consola CMD?

Guardalo en PAINT, teclea la tecla ImpPnt, ve a paint y teclea CTRL+V y lo guardas, venga al post y as click sobre el boton que tiene un flecha para arriba y lo subes.