Buenas tardes amigos, pido ayuda para eliminar este casino generador de accesos directos Manuel.doc, he pasado USBFIX, MalwareBytes y Eset Online, lo detectan y aún asi continua infectando cualquier dispositivo que accede al pc.
Recuerdo que antes de que el foro anterior fuera atacado había un tutorial con todos los pasos enormemente eficaz, recuerdo haberlo usado anteriormente con eficacia total, pero ahora mismo no hay manera, no lo consigo derrotar.
Si algun user tiene la amabilidad de enseñarme que estrategia seguir contra este briboncillo lo agradecería mucho, ahora mismo tengo infectados 5 pens y un HDD externo, espero ayuda colegas
El reporte de ESET Online Scanner lo puedes ubicar en C:\Archivos de programa\Eset\log.txt o bien C:\Archivos de programa (x86)\Eset\log.txt si sistema operativo que tienes instalado es de 64 bits (ver más información de cómo identificar un sistema operativo de 64 bits, lo puedes ver aquí -> ¿Cómo saber si mi Windows es de 32 o 64 bits.?)
Es importante evitar conectar tus 5 unidades USB y el HDD externo en tu PC y en otros equipos para evitar que el problema se agrave.
Si los reportes son muy largos, colócalos en varias respuestas, indicando a qué programa corresponde cada reporte.
Gracias al amigo @Facundo por responder; comienzo a poner los reportes
**Malwarebytes**
-Información del sistema-
SO: Windows 10 (Build 17134.345)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-ZZZZZ
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 327234
Amenazas detectadas: 2
Amenazas en cuarentena: 0
Tiempo transcurrido: 0 min, 43 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 1
**Worm.Forbix, HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|SysinfY2X**, Sin acciones por parte del usuario, [6204], [412187],1.0.7331
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 1
**Worm.Forbix, C:\USERS\ZZZZ\APPDATA\LOCAL\TEMP\SysinfY2X.db**, Sin acciones por parte del usuario, [6204], [412187],1.0.7331
Sector físico: 0
(No hay elementos maliciosos detectados
WMI: 0
(No hay elementos maliciosos detectados)
(end)
En tus reportes, aparentemente estan todos mal realizados.
Malwarebytes ,el resultado pone " sin acciones por el usuario", aunque pone que están en cuarentena
Comprueba en Cuarentena si estan esos elementos
El UsbFix, primeramente según el log, lo hiciste sin conectar tus Usbs infectados y ademas no seleccionaste para eliminar nada de lo encontrado, por tanto ese análisis no sirve
------------ | Discos analizados |
No se detectan dispositivos para este tipo de escaneo.
------------ | Elemento(s) infectado(s) |
Not selected!
Mira el manual, realizas un Full Analisis , con todos tus Usbs conectados y le pegas el log al Compañero
Gracias @Miguelgrado por responder vuelvo a poner los reports, para que veais
Malwarebytes
-Detalles del registro-
Fecha del análisis: 14/10/18
Hora del análisis: 4:37
Archivo de registro: 1e5a1a9a-cf5a-11e8-a120-10bf4806076c.json
-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.463
Versión del paquete de actualización: 1.0.7337
Licencia: Prueba
-Información del sistema-
SO: Windows 10 (Build 17134.345)
CPU: x64
Sistema de archivos: NTFS
Usuario: System
-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Programador de tareas
Resultado: Completado
Objetos analizados: 327020
Amenazas detectadas: 2
Amenazas en cuarentena: 2
Tiempo transcurrido: 2 min, 30 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 1
Worm.Forbix, HKU\S-1-5-21-2283021161-3218671889-2336690987-1002\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|SysinfY2X, En cuarentena, [6204], [412187],1.0.7337
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 1
Worm.Forbix, C:\USERS\XXXX\APPDATA\LOCAL\TEMP\SysinfY2X.db, En cuarentena, [6204], [412187],1.0.7337
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
Se supone que estan los dos archivos infectados y dos claves del registro en cuarentena
C:\Users\XXXX\AppData\Local\Temp\SysinfY2X.db VBS/Agent.NJS gusano
F:\d\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable
F:\XXXX\AAAAA\d\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable
F:\XXXX\AAAAA\documentos varios\SoftonicDownloader_para_utorrent.exe una variante de Win32/SoftonicDownloader.F aplicación potencialmente indeseable
Ubicaciones de inicio automático VBS/Agent.NJS gusano
Buenas, ese es el txt que me creo Eset al final, puede ser que no lo haya creado yo correctamente, lo vuelvo a pasar.
Puedo comentar que he comprobado los pendrives infectados en una distro de Ubuntu-linux (que se arranca desde un pen) y he tenido que volver a eliminar el pesadilla “Manuel.doc” y todos los accesos directos que crea, pienso que USBFix no ha derrotado al enemigo.
Creo que os podeis hacer una idea no, cuando acabe de analizar las otras partes las incluyo, pero vamos, es el virus de los “accesos directos” pero no logro darle matarile.
He intentado copiar el log desde la carpeta oculta como indica el tutorial pero por algun motivo no me aparece el archivo siempre, pero si es necesario copio lo que tengo
El archivo VBS/Agent.NJS ya se elimino segun el reporte de ESET. Como comento @Miguelgrado tus memorias usb infectadas ya fueron eliminadas, estoy en lo correcto?
Realiza un escaneo con ESET a tu disco principal, y me pegas el reporte al final.
Acabo de reiniciar, pasar Malwarebytes, dar positivos otra vez, cuarentena, eliminarlos, reiniciar y parece ser que aún no se ha desinfectado, estamos apañados parece.
Siguen apareciendo los archivos? Sube imagenes de donde se presentan, aun que tampoco me estas diciendo si aparecen en los discos, o en las memorias usb…
Sigo viendo todos los archivos del pen como “accesos directos” y ya pongo el pen en un pc con linux veo el Manuel.doc, en windows no se ve.
Para la unidad C: pone esto:
C:\Users\Estefania> Attrib /d /s -r -h -s
Acceso denegado: C:\Users\XXXX\AppData\Local\Microsoft\Windows\UPPS\UPPS.bin
El destino del vínculo simbólico C:\Users\XXXX\AppData\Local\Microsoft\WindowsApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe no existe.
El destino del vínculo simbólico C:\Users\XXXX\AppData\Local\Microsoft\WindowsApps\MicrosoftEdge.exe no existe.
No puedo subr imagenes a la publicacion, ¿subo los pantallazos a otro lado?
He ejecutado CMD como admin por supuesto.
No puedo escribir otro mensaje hasta dentro de 4 horas parece ser, y no me permiten subir imagenes al post (por novato supongo). Contesto en este mensaje a partir de ahora.
Pero as ejecutado como administrador la consola CMD?
Guardalo en PAINT, teclea la tecla ImpPnt, ve a paint y teclea CTRL+V y lo guardas, venga al post y as click sobre el boton que tiene un flecha para arriba y lo subes.